Distribuire e configurare i certificati della CA globale (Enterprise) per Azure firewall Preview

Importante

Azure Firewall Premium è attualmente disponibile in anteprima pubblica. Questa versione di anteprima viene messa a disposizione senza contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate. Per altre informazioni, vedere Condizioni supplementari per l'utilizzo delle anteprime di Microsoft Azure.

Azure Firewall Premium Preview include una funzionalità di ispezione TLS, che richiede una catena di autenticazione dei certificati. Per le distribuzioni di produzione, è consigliabile usare un'infrastruttura a chiave pubblica (PKI) aziendale per generare i certificati usati con Azure Firewall Premium. Usare questo articolo per creare e gestire un certificato CA intermedio per l'anteprima di Azure Firewall Premium.

Per altre informazioni sui certificati usati da Azure Firewall Premium Preview, vedere certificati di anteprima Premium del firewall di Azure.

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Per usare una CA globale (Enterprise) per generare un certificato da usare con l'anteprima Premium di Azure firewall, è necessario disporre delle risorse seguenti:

  • Foresta Active Directory
  • CA radice dei servizi di certificazione Active Directory con registrazione Web abilitata
  • un firewall di Azure Premium con criteri del firewall di livello Premium
  • Azure Key Vault
  • Identità gestita con autorizzazioni di lettura per i certificati e i segreti definiti nei criteri di accesso key Vault

Richiedere ed esportare un certificato

  1. Accedere al sito di registrazione Web nella CA radice, in genere https://<servername>/certsrv e selezionare Richiedi un certificato.
  2. Selezionare richiesta avanzata di certificati.
  3. Selezionare Crea e inviare una richiesta a questa CA.
  4. Compilare il modulo usando il modello dell'autorità di certificazione subordinata.
  5. Inviare la richiesta e installare il certificato.
  6. Supponendo che questa richiesta venga effettuata da un server Windows utilizzando Internet Explorer, aprire Opzioni Internet.
  7. Passare alla scheda contenuto e selezionare certificati.
  8. Selezionare il certificato appena emesso, quindi selezionare Esporta.
  9. Selezionare Avanti per avviare la procedura guidata. Selezionare Sì, Esporta la chiave privata e quindi fare clic su Avanti.
  10. il formato del file PFX è selezionato per impostazione predefinita. Deselezionare Includi tutti i certificati nel percorso certificazione, se possibile. Se si esporta l'intera catena di certificati, il processo di importazione in Azure firewall avrà esito negativo.
  11. Assegnare e confermare una password per proteggere la chiave e quindi fare clic su Avanti.
  12. Scegliere un nome file e un percorso di esportazione, quindi fare clic su Avanti.
  13. Selezionare Finish (fine ) e spostare il certificato esportato in una posizione sicura.

Aggiungere il certificato a un criterio del firewall

  1. Nella portale di Azure passare alla pagina certificati della Key Vault e selezionare genera/importa.
  2. Selezionare Importa come metodo di creazione, assegnare un nome al certificato, selezionare il file PFX esportato, immettere la password e quindi selezionare Crea.
  3. Passare alla pagina ispezione TLS (anteprima) del criterio firewall e selezionare l'identità gestita, il Key Vault e il certificato.
  4. Selezionare Salva. Ispezione TLS

Convalida ispezione TLS

  1. Creare una regola dell'applicazione usando l'ispezione TLS per l'URL di destinazione o il nome di dominio completo di propria scelta. Ad esempio: *bing.com.
  2. Da un computer aggiunto a un dominio all'interno dell'intervallo di origine della regola, passare alla destinazione e selezionare il simbolo di blocco accanto alla barra degli indirizzi nel browser. Il certificato deve indicare che è stato emesso dalla CA globale (Enterprise) anziché da una CA pubblica.
  3. Mostra il certificato per visualizzare altri dettagli, incluso il percorso del certificato. Dettagli certificato
  4. In Log Analytics eseguire la query KQL seguente per restituire tutte le richieste soggette all'ispezione TLS:
    AzureDiagnostics 
    | where ResourceType == "AZUREFIREWALLS" 
    | where Category == "AzureFirewallApplicationRule" 
    | where msg_s contains "Url:" 
    | sort by TimeGenerated desc
    
    Il risultato mostra l'URL completo del traffico controllato: query KQL

Passaggi successivi

Anteprima di Azure Firewall Premium nella portale di Azure