Ukončení šifrování TLS s využitím certifikátů služby Key Vault

Azure Key Vault je úložiště tajné databáze spravované platformou, které můžete použít k ochraně tajných klíčů, klíčů a certifikátů TLS/SSL. Azure Application Gateway podporuje integraci s Key Vault pro certifikáty serveru, které jsou připojené k naslouchacím procesům s povoleným protokolem HTTPS. Tato podpora je omezená na SKU v2 Application Gateway.

Application Gateway nabízí dva modely pro ukončení protokolu TLS:

• Zadejte certifikáty TLS/SSL připojené k naslouchacímu procesu. Tento model je tradiční způsob, jak předat certifikát TLS/SSL Application Gateway pro ukončení protokolu TLS.
• Při vytváření naslouchacího procesu s povoleným protokolem HTTPS Poskytněte odkaz na existující Key Vault certifikát nebo tajný kód.

Application Gateway integrace s Key Vault nabízí spoustu výhod, včetně:

• Silnější zabezpečení, protože certifikáty TLS/SSL nejsou přímo zpracovávány týmem vývoje aplikace. Integrace umožňuje samostatnému bezpečnostnímu týmu:
  • Nastavte aplikační brány.
  • Řízení životního cyklu brány Application Gateway.
  • Udělte oprávnění vybraným aplikačním branám přístup k certifikátům uloženým v trezoru klíčů.
• Podpora importu existujících certifikátů do trezoru klíčů. Nebo můžete použít rozhraní Key Vault API k vytváření a správě nových certifikátů s některým z důvěryhodných partnerů Key Vault.
• Podpora automatického obnovování certifikátů uložených v trezoru klíčů.

Podporované certifikáty

Application Gateway aktuálně podporuje jenom certifikáty ověřované softwarem. Certifikáty ověřované modulem hardwarového zabezpečení (HSM) nejsou podporovány.

Po nakonfigurování Application Gateway k používání certifikátů Key Vault jejich instance načtou certifikát z Key Vault a nainstalují je místně pro ukončení protokolu TLS. Cyklické dotazování instancí Key Vault za čtyři hodiny, aby se načetla obnovená verze certifikátu, pokud existuje. Pokud je nalezen aktualizovaný certifikát, dojde k automatickému otočení certifikátu TLS/SSL, který je aktuálně přidružen k naslouchacímu procesu protokolu HTTPS.

Application Gateway používá pro odkazování certifikátů tajný identifikátor v Key Vault. pro Azure PowerShell rozhraní příkazového řádku Azure nebo Azure Resource Manager důrazně doporučujeme použít tajný identifikátor, který neurčuje verzi. Tímto způsobem bude Application Gateway automaticky otáčet certifikát, pokud je v trezoru klíčů k dispozici novější verze. Příkladem tajného identifikátoru URI bez verze je https://myvault.vault.azure.net/secrets/mysecret/ .

Azure Portal podporuje pouze certifikáty Key Vault, nikoli tajné klíče. Application Gateway dál podporuje odkazování na tajné klíče z Key Vault, ale jenom prostřednictvím jiných prostředků než portálu, jako je PowerShell, Azure CLI, rozhraní API a šablony Azure Resource Manager (šablony ARM).

Nastavení certifikátu v Key Vault

v případě ukončení protokolu TLS Application Gateway podporuje jenom certifikáty ve formátu PFX (Personal Information Exchange). Můžete buď importovat existující certifikát, nebo vytvořit nový v trezoru klíčů. Abyste se vyhnuli jakýmkoli chybám, zajistěte, aby byl stav certifikátu nastaven na povoleno v Key Vault.

Jak funguje integrace

Application Gateway integrace s Key Vault je proces konfigurace se třemi kroky:

Vytvoření spravované identity přiřazené uživatelem

Buď vytvoříte spravovanou identitu přiřazenou uživatelem, nebo znovu použijete stávající. Application Gateway používá spravovanou identitu k načtení certifikátů od Key Vault vaším jménem. Další informace najdete v tématu Vytvoření, vypsání, odstranění nebo přiřazení role k spravované identitě přiřazené uživatelem pomocí Azure Portal.

tento krok vytvoří novou identitu v tenantovi Azure Active Directory. Identita je důvěryhodná pro předplatné, které se používá k vytvoření identity.

Konfigurace trezoru klíčů

Definování zásad přístupu pro použití spravované identity přiřazené uživatelem s vaším trezorem klíčů:

1. V Azure Portal přejít na Key Vault.

2. Otevřete podokno zásady přístupu .

3. Pokud používáte zásady přístupu k trezoru modelů oprávnění: vyberte + Přidat zásady přístupu, vyberte získat pro oprávnění tajného kódu a zvolte vaši uživatelem přiřazenou spravovanou identitu pro Vybrat objekt zabezpečení. Pak vyberte Uložit.

   Pokud používáte model oprávnění řízení přístupu na základě role Azure: přidejte přiřazení role pro spravovanou identitu uživatele do trezoru klíčů Azure pro roli Key Vault tajného uživatele.

Od 15. března 2021 Key Vault rozpoznává Application Gateway jako důvěryhodnou službu tím, že využívá identity spravované uživateli pro ověřování Azure Key Vault. Pomocí koncových bodů služby a povolením možnosti důvěryhodné služby pro bránu firewall trezoru klíčů můžete vytvořit zabezpečenou hranici sítě v Azure. Můžete odepřít přístup k provozu ze všech sítí (včetně internetového provozu), abyste Key Vault, ale pořád Key Vault přístup k prostředku Application Gateway v rámci vašeho předplatného.

Pokud používáte omezený Trezor klíčů, použijte následující postup ke konfiguraci Application Gateway k používání bran firewall a virtuálních sítí:

1. V Azure Portal v trezoru klíčů vyberte síť.
2. Na kartě brány firewall a virtuální sítě vyberte možnost privátní koncový bod a vybrané sítě.
3. V části virtuální sítě vyberte + Přidat existující virtuální sítě a potom přidejte virtuální síť a podsíť pro vaši instanci Application Gateway. Během procesu také nakonfigurujte Microsoft.KeyVault koncový bod služby tím, že vyberete jeho zaškrtávací políčko.
4. Vyberte Ano , pokud chcete, aby důvěryhodné služby obcházely bránu firewall trezoru klíčů.

Pokud nasadíte instanci Application Gateway prostřednictvím šablony ARM pomocí Azure CLI nebo PowerShellu nebo prostřednictvím aplikace Azure nasazené z Azure Portal, certifikát SSL je uložený v trezoru klíčů jako soubor PFX s kódováním base64. Musíte dokončit kroky v části použití Azure Key Vault k předání hodnoty zabezpečeného parametru během nasazování.

Je zvláště důležité nastavit enabledForTemplateDeployment na true . Certifikát může nebo nemusí mít heslo. V případě certifikátu s heslem následující příklad ukazuje možnou konfiguraci pro sslCertificates položku v nástroji properties pro konfiguraci šablony ARM pro Application Gateway.

"sslCertificates": [
    {
        "name": "appGwSslCertificate",
        "properties": {
            "data": "[parameters('appGatewaySSLCertificateData')]",
            "password": "[parameters('appGatewaySSLCertificatePassword')]"
        }
    }
]

Hodnoty appGatewaySSLCertificateData a appGatewaySSLCertificatePassword jsou vyhledány z trezoru klíčů, jak je popsáno v referenčních tajných klíčích s dynamickým ID. Pokud parameters('secretName') chcete zjistit, jak se vyhledávání děje, postupujte podle odkazů zpět z. Pokud certifikát není bez hesla, vynechejte password položku.

Konfigurace Application Gateway

Po vytvoření spravované identity přiřazené uživatelem a konfiguraci trezoru klíčů můžete ke své instanci Application Gateway přiřadit spravovanou identitu prostřednictvím správy identit a přístupu (IAM). Informace o PowerShellu najdete v tématu set-AzApplicationGatewayIdentity.

Zkoumání a řešení chyb Key Vault

Azure Application Gateway nestačí dotazovat na obnovenou verzi certifikátu v Key Vault v intervalu čtyř hodin. Také zaznamená jakoukoli chybu a je integrována s Azure Advisor k vytvoření plochy jakékoli chybné konfigurace jako doporučení. Doporučení obsahuje podrobnosti o problému a souvisejícím prostředku Key Vault. Tyto informace můžete použít spolu s průvodcem odstraňováním potíží k rychlému vyřešení takové chyby konfigurace.

Důrazně doporučujeme, abyste nakonfigurovali výstrahy poradce , aby zůstaly aktualizované při zjištění problému. Chcete-li pro tento konkrétní případ nastavit výstrahu, použijte jako typ doporučení řešení potíží s Azure Key Vault pro vaši Application Gateway .

Další kroky

Konfigurace ukončení TLS pomocí Key Vault certifikátů pomocí Azure PowerShell