Distribuire e configurare i certificati della CA Enterprise per Firewall di Azure

Firewall di Azure Premium include una funzionalità di ispezione TLS, che richiede una catena di autenticazione del certificato. Per le distribuzioni di produzione, è consigliabile usare un'infrastruttura a chiave pubblica (PKI) Enterprise per generare i certificati usati con Firewall di Azure Premium. Usare questo articolo per creare e gestire un certificato CA intermedio per Firewall di Azure Premium.

Per altre informazioni sui certificati usati da Firewall di Azure Premium, vedere Firewall di Azure Premium certificati.

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Per usare una CA Enterprise per generare un certificato da usare con Firewall di Azure Premium, è necessario disporre delle risorse seguenti:

  • una foresta Active Directory
  • una CA radice di Servizi di certificazione Active Directory con registrazione Web abilitata
  • un Firewall di Azure Premium con criteri firewall di livello Premium
  • un Key Vault di Azure
  • un'identità gestita con autorizzazioni di lettura per certificati e segreti definiti nei criteri di accesso Key Vault

Richiedere ed esportare un certificato

  1. Accedere al sito di registrazione Web nella CA radice, in genere https://<servername>/certsrv e selezionare Richiedi un certificato.
  2. Selezionare Richiesta di certificato avanzata.
  3. Selezionare Crea e invia una richiesta a questa CA.
  4. Compilare il modulo usando il modello Autorità di certificazione subordinata. Screenshot of advanced certificate request
  5. Inviare la richiesta e installare il certificato.
  6. Supponendo che questa richiesta venga effettuata da un server di Windows tramite Internet Explorer, aprire Opzioni Internet.
  7. Passare alla scheda Contenuto e selezionare Certificati. Screenshot of Internet properties
  8. Selezionare il certificato appena rilasciato e quindi selezionare Esporta. Screenshot of export certificate
  9. Selezionare Avanti per avviare la procedura guidata. Selezionare Sì, esportare la chiave privata e quindi selezionare Avanti. Screenshot showing export private key
  10. Il formato di file pfx è selezionato per impostazione predefinita. Deselezionare Includi tutti i certificati nel percorso di certificazione, se possibile. Se si esporta l'intera catena di certificati, il processo di importazione in Firewall di Azure avrà esito negativo. Screenshot showing export file format
  11. Assegnare e confermare una password per proteggere la chiave e quindi selezionare Avanti. Screenshot showing certificate security
  12. Scegliere un nome file e un percorso di esportazione e quindi selezionare Avanti.
  13. Selezionare Fine e spostare il certificato esportato in un percorso sicuro.

Aggiungere il certificato a un criterio firewall

  1. Nella portale di Azure passare alla pagina Certificati del Key Vault e selezionare Genera/Importa.
  2. Selezionare Importa come metodo di creazione, denominare il certificato, selezionare il file pfx esportato, immettere la password e quindi selezionare Crea. Screenshot showing Key Vault create a certificate
  3. Passare alla pagina Ispezione TLS dei criteri firewall e selezionare l'identità gestita, Key Vault e il certificato. Screenshot showing Firewall Policy TLS Insepction configuration
  4. Selezionare Salva.

Convalidare l'ispezione TLS

  1. Creare una regola dell'applicazione usando l'ispezione TLS per l'URL di destinazione o il nome di dominio completo desiderato. Ad esempio: *bing.com. Screenshot showing edit rule collection
  2. Da un computer aggiunto a un dominio all'interno dell'intervallo di origine della regola passare alla destinazione e selezionare il simbolo di blocco accanto alla barra degli indirizzi nel browser. Il certificato deve indicare che è stato rilasciato dalla CA Enterprise anziché da una CA pubblica. Screenshot showing the browser certificate
  3. Visualizzare il certificato per visualizzare altri dettagli, incluso il percorso del certificato. certificate details
  4. In Log Analytics eseguire la query seguente KQL per restituire tutte le richieste soggette all'ispezione TLS:
    AzureDiagnostics 
    | where ResourceType == "AZUREFIREWALLS" 
    | where Category == "AzureFirewallApplicationRule" 
    | where msg_s contains "Url:" 
    | sort by TimeGenerated desc
    
    Il risultato mostra l'URL completo del traffico controllato: KQL query

Passaggi successivi

Firewall di Azure Premium nel portale di Azure