TLS-beëindiging met Key Vault-certificaten

  • Artikel
  • 6 minuten om te lezen

Azure Key Vault is een door het platform beheerd geheim opslag dat u kunt gebruiken voor het beveiligen van geheimen, sleutels en TLS/SSL-certificaten. Azure Application Gateway ondersteunt integratie met Key Vault voor servercertificaten die zijn gekoppeld aan listeners met HTTPS-ondersteuning. Deze ondersteuning is beperkt tot de v2-SKU van Application Gateway.

Application Gateway biedt twee modellen voor TLS-beëindiging:

  • Geef TLS/SSL-certificaten op die zijn gekoppeld aan de listener. Dit model is de traditionele manier om TLS/SSL-certificaten door te geven aan Application Gateway TLS-beëindiging.
  • Geef een verwijzing op naar een bestaand Key Vault of geheim wanneer u een listener met HTTPS-ondersteuning maakt.

Application Gateway integratie met Key Vault biedt veel voordelen, waaronder:

  • Sterkere beveiliging, omdat TLS/SSL-certificaten niet rechtstreeks worden verwerkt door het ontwikkelteam van de toepassing. Met integratie kan een afzonderlijk beveiligingsteam het volgende doen:
    • Stel toepassingsgateways in.
    • De levenscycli van de toepassingsgateway beheren.
    • Verleen geselecteerde toepassingsgateways machtigingen voor toegang tot certificaten die zijn opgeslagen in uw sleutelkluis.
  • Ondersteuning voor het importeren van bestaande certificaten in uw sleutelkluis. Of gebruik Key Vault API's om nieuwe certificaten te maken en beheren met een van de vertrouwde Key Vault partners.
  • Ondersteuning voor automatische verlenging van certificaten die zijn opgeslagen in uw sleutelkluis.

Ondersteunde certificaten

Application Gateway ondersteunt momenteel alleen door software gevalideerde certificaten. HSM-gevalideerde certificaten (Hardware Security Module) worden niet ondersteund.

Nadat Application Gateway is geconfigureerd voor het gebruik van Key Vault-certificaten, halen de instanties het certificaat op uit Key Vault en installeren ze het lokaal voor TLS-beëindiging. De instanties peilen Key Vault intervallen van vier uur om een vernieuwde versie van het certificaat op te halen, indien aanwezig. Als er een bijgewerkt certificaat wordt gevonden, wordt het TLS/SSL-certificaat dat momenteel is gekoppeld aan de HTTPS-listener, automatisch geroteerd.

Application Gateway gebruikt een geheime id in Key Vault om te verwijzen naar de certificaten. Voor Azure PowerShell, de Azure CLI of Azure Resource Manager raden we u ten zeerste aan een geheime id te gebruiken die geen versie opgeeft. Op deze manier Application Gateway certificaat automatisch roteren als er een nieuwere versie beschikbaar is in uw sleutelkluis. Een voorbeeld van een geheime URI zonder versie is https://myvault.vault.azure.net/secrets/mysecret/ .

De Azure Portal ondersteunt alleen Key Vault certificaten, niet geheimen. Application Gateway biedt nog steeds ondersteuning voor het verwijzen naar geheimen uit Key Vault, maar alleen via niet-portalresources zoals PowerShell, de Azure CLI, API's en Azure Resource Manager-sjablonen (ARM-sjablonen).

Waarschuwing

Azure Application Gateway ondersteunt momenteel alleen Key Vault accounts in hetzelfde abonnement als de Application Gateway resource. Als u een sleutelkluis kiest onder een ander abonnement dan uw Application Gateway leidt dit tot een fout.

Certificaatinstellingen in Key Vault

Voor TLS-beëindiging ondersteunt Application Gateway alleen certificaten in pfx-indeling (Personal Information Exchange). U kunt een bestaand certificaat importeren of een nieuw certificaat maken in uw sleutelkluis. Om fouten te voorkomen, moet u ervoor zorgen dat de status van het certificaat is ingesteld op Ingeschakeld in Key Vault.

Hoe de integratie werkt

Application Gateway integratie met Key Vault is een configuratieproces in drie stappen:

Diagram met drie stappen voor het integreren van Application Gateway met Key Vault.

Een door de gebruiker toegewezen beheerde identiteit maken

U maakt een door de gebruiker toegewezen beheerde identiteit of u gebruikt een bestaande identiteit opnieuw. Application Gateway gebruikt de beheerde identiteit om namens u certificaten van Key Vault op te halen. Zie Create, list, delete, or assign a role to a user-assigned managed identityusing the Azure Portal (Een rol maken, opslijsten, verwijderen of toewijzen aan een door de gebruiker toegewezen beheerde identiteit) voor meer Azure Portal.

Met deze stap maakt u een nieuwe identiteit in de Azure Active Directory tenant. De identiteit wordt vertrouwd door het abonnement dat wordt gebruikt om de identiteit te maken.

Uw sleutelkluis configureren

Definieer toegangsbeleid voor het gebruik van de door de gebruiker toegewezen beheerde identiteit met uw sleutelkluis:

  1. Ga in Azure Portal naar Key Vault.

  2. Open het deelvenster Toegangsbeleid.

  3. Als u het toegangsbeleid voor de kluis van het machtigingsmodel gebruikt: selecteer + Toegangsbeleid toevoegen, selecteert u Get voor Geheime machtigingen en kiest u uw door de gebruiker toegewezen beheerde identiteit voor Principal selecteren. Selecteer vervolgens Opslaan.

    Als u het machtigingsmodel op rollen gebaseerd toegangsbeheer van Azure gebruikt: voeg een roltoewijzing voor de door de gebruiker toegewezen beheerde identiteit toe aan de Azure-sleutelkluis voor de rol Key Vault Secrets User.

Vanaf 15 maart 2021 herkent Key Vault Application Gateway als een vertrouwde service door gebruik te maken van door de gebruiker beheerde identiteiten voor Azure Key Vault. Met het gebruik van service-eindpunten en het inschakelen van de optie voor vertrouwde services voor de firewall van Key Vault, kunt u een beveiligde netwerkgrens bouwen in Azure. U kunt de toegang tot verkeer van alle netwerken (inclusief internetverkeer) naar Key Vault weigeren, maar u kunt Key Vault wel toegankelijk maken voor een Application Gateway-resource onder uw abonnement.

Wanneer u een beperkte sleutelkluis gebruikt, gebruikt u de volgende stappen om uw Application Gateway firewalls en virtuele netwerken te gebruiken:

  1. Selecteer in Azure Portal sleutelkluis netwerken.
  2. Selecteer op het tabblad Firewalls en virtuele netwerken de optie Privé-eindpunt en geselecteerde netwerken.
  3. Bij Virtuele netwerken selecteert u + Bestaande virtuele netwerken toevoegen en voegt u vervolgens het virtuele netwerk en subnet voor uw Application Gateway-exemplaar toe. Configureer tijdens het proces ook het Microsoft.KeyVault service-eindpunt door het selectievakje in te selecteren.
  4. Selecteer Ja om vertrouwde services toe te staan de firewall van de sleutelkluis te omzeilen.

Schermopname met selecties voor het configureren van Application Gateway voor het gebruik van firewalls en virtuele netwerken.

Als u het Application Gateway-exemplaar implementeert via een ARM-sjabloon met behulp van de Azure CLI of PowerShell, of via een Azure-toepassing die is geïmplementeerd vanuit de Azure Portal, wordt het SSL-certificaat in de sleutelkluis opgeslagen als een PFX-bestand met Base64-codering. U moet de stappen in Use Azure Key Vault to pass secure parameter value during deployment (Veilige parameterwaardedoorgeven tijdens de implementatie).

Het is met name belangrijk om in te enabledForTemplateDeployment stellen op true . Het certificaat heeft al dan niet een wachtwoord. In het geval van een certificaat met een wachtwoord toont het volgende voorbeeld een mogelijke configuratie voor de vermelding in voor de sslCertificates properties ARM-sjabloonconfiguratie voor Application Gateway.

"sslCertificates": [
    {
        "name": "appGwSslCertificate",
        "properties": {
            "data": "[parameters('appGatewaySSLCertificateData')]",
            "password": "[parameters('appGatewaySSLCertificatePassword')]"
        }
    }
]

De waarden van appGatewaySSLCertificateData en appGatewaySSLCertificatePassword worden opzoekt vanuit de sleutelkluis, zoals beschreven in Referentiegeheimen met dynamische id. Volg de verwijzingen terug van parameters('secretName') om te zien hoe de zoekactie gebeurt. Als het certificaat zonder wachtwoord is, laat u de password vermelding weg.

Configuratie Application Gateway

Nadat u een door de gebruiker toegewezen beheerde identiteit hebt maken en uw sleutelkluis hebt geconfigureerd, kunt u de beheerde identiteit voor uw Application Gateway-exemplaar toewijzen via identiteits- en toegangsbeheer (IAM). Zie Set-AzApplicationGatewayIdentityvoor PowerShell.

Problemen met Key Vault onderzoeken en oplossen

Azure Application Gateway pollt niet alleen naar de vernieuwde certificaatversie op Key Vault interval van vier uur. Er wordt ook een fout in de logboeken Azure Advisor geïntegreerd met een Azure Advisor onjuiste configuratie aan het oppervlak te brengen als aanbeveling. De aanbeveling bevat details over het probleem en de bijbehorende Key Vault resource. U kunt deze informatie samen met de gids voor probleemoplossing gebruiken om een dergelijke configuratiefout snel op te lossen.

We raden u ten zeerste aan advisor-waarschuwingen te configureren om op de hoogte te blijven wanneer er een probleem wordt gedetecteerd. Als u een waarschuwing voor deze specifieke case wilt instellen, gebruikt u Probleem Azure Key Vault oplossen voor uw Application Gateway als aanbevelingstype.

Volgende stappen

TLS-beëindiging configureren met Key Vault certificaten met behulp van Azure PowerShell