Azure Güvenlik Duvarı Premium sertifikaları

  • Makale
  • Okumak için 6 dakika

TLS Azure Güvenlik Duvarı Premium düzgün şekilde yapılandırmak için geçerli bir ara CA sertifikası sağlamalı ve bunu Azure Key Vault'a depolanız gerekir.

Sertifikalar tarafından kullanılan Azure Güvenlik Duvarı Premium

Tipik bir dağıtımda kullanılan üç sertifika türü vardır:

  • Ara CA Sertifikası (CA Sertifikası)

    Sertifika Yetkilisi (CA), dijital sertifikaları imzalamaya güvenilen bir kuruluştır. CA, sertifika isteğinda olan bir şirketin veya kişinin kimliğini ve meşru olduğunu doğrular. Doğrulama başarılı olursa, CA imzalı bir sertifika sağlar. Sunucu, ssl/TLS el sıkışması sırasında sertifikayı istemciye (örneğin, web tarayıcınız) sunarken, istemci, imzayı bilinen iyi imzayı imzaya sahip bir listeyle doğrulamaya çalışır. Web tarayıcıları normalde konakları tanımlamak için örtülü olarak güvenen BIR LISTEyle gelir. Yetkili listede yoksa, kendi sertifikalarını imzalayan bazı sitelerde olduğu gibi tarayıcı, kullanıcıya sertifikanın tanınan bir yetkili tarafından imzalanmamış olduğunu bildirerek kullanıcıya doğrulanmamış siteyle iletişime devam etmek ister mi diye sorar.

  • Sunucu Sertifikası (Web sitesi sertifikası)

    Belirli bir etki alanı adıyla ilişkili bir sertifika. Bir web sitesinin geçerli bir sertifikası varsa, bu, sertifika yetkilisinin web adresinin gerçekten o kuruluşa ait olduğunu doğrulamak için adımlar attığı anlamına gelir. Bir URL yazarak veya güvenli bir web sitesinin bağlantısını takip edin, tarayıcınız sertifikayı aşağıdaki özellikler için denetler:

    • Web sitesi adresi, sertifikanın adresiyle eştir.
    • Sertifika, tarayıcının güvenilir bir yetkili olarak kabul verdiği bir sertifika yetkilisi tarafından imzalanmıştır.

    Bazen kullanıcılar güvenilmeyen bir sertifika ile bir sunucuya bağlanabilirsiniz. Azure Güvenlik Duvarı sunucu bağlantıyı sonlandırıldı gibi bırakılacaktır.

  • Kök CA Sertifikası (kök sertifika)

    Bir sertifika yetkilisi, ağaç yapısı şeklinde birden çok sertifika oluşturabilir. Kök sertifika, ağacın en üst sırada yer alan sertifikasıdır.

Azure Güvenlik Duvarı Premium HTTP/S trafiğini kesebilirsiniz ve için otomatik olarak bir sunucu sertifikası www.website.com oluşturabilirsiniz. Bu sertifika, sağlamakta olduğu Ara CA sertifikası kullanılarak oluşturulur. Bu yordamın çalışması için son kullanıcı tarayıcısı ve istemci uygulamaları, kuruluş Kök CA sertifikasına veya ara CA sertifikasına güvenebilir.

Sertifika işlemi

Ara CA sertifika gereksinimleri

CA sertifikanızı aşağıdaki gereksinimlere uygun olduğundan emin olun:

  • Gizli anahtar olarak Key Vault, bir sertifika ve özel anahtar ile Parolasız PFX (Pkcs12) kullan gerekir.

  • Tek bir sertifika olması ve sertifika zincirinin tamamını içermesi gerekir.

  • Bir yıl boyunca geçerli olmalıdır.

  • En az 4096 bayt boyutuna sahip bir RSA özel anahtarı olmalıdır.

  • Uzantının bayrağıyla Kritik olarak işaretlenmiş KeyUsage olması KeyCertSign gerekir (RFC 5280; 4.2.1.3 Anahtar Kullanımı).

  • Uzantı kritik BasicContraints (RFC 5280; 4.2.1.9 Temel Kısıtlamalar) olarak işaretlenir.

  • Bayrağın CA TRUE olarak ayarlanmış olması gerekir.

  • Yol Uzunluğu birden büyük veya bire eşit olmalıdır.

Azure Key Vault

Azure Key Vault, gizli dizileri, anahtarları ve TLS/SSL sertifikalarını korumak için kullanabileceğiniz platform tarafından yönetilen bir gizli dizi deposudur. Azure Güvenlik Duvarı Premium Güvenlik Duvarı İlkesine Key Vault sunucu sertifikaları için güvenlik duvarı ile tümleştirmeyi destekler.

Anahtar kasanızı yapılandırmak için:

  • Anahtar çifti olan mevcut bir sertifikayı anahtar kasanıza aktarmanız gerekir.
  • Alternatif olarak, parolasız, base-64 ile kodlanmış PFX dosyası olarak depolanan bir anahtar kasası gizli anahtarı da kullanabilirsiniz. PFX dosyası, hem özel anahtar hem de ortak anahtar içeren bir dijital sertifikadır.
  • Sertifika son kullanma tarihine göre bir uyarı yapılandırmaya olanak sağlayan bir CA sertifika içeri aktarması kullanılması önerilir.
  • Bir sertifikayı veya gizli anahtarı içe aktardıktan sonra, kimlike sertifika/gizli anahtar erişimi verilmesine izin vermek için anahtar kasasında erişim ilkeleri tanımlamanız gerekir.
  • Sağlanan CA sertifikasının Azure iş yükünüz tarafından güvenilir olması gerekir. Bunların doğru dağıtıldığından emin olun.

Kullanıcı tarafından atanan mevcut bir yönetilen kimliği oluşturabilir veya yeniden kullanabilirsiniz. Bu kimlik, Azure Güvenlik Duvarı sizin Key Vault sertifikaları almak için kullanır. Daha fazla bilgi için bkz. Azure kaynakları için yönetilen kimlikler nedir?

İlkenize sertifika yapılandırma

Güvenlik Duvarı güvenlik duvarı ilkenize bir CA Premium için ilkenizi ve ardından TLS inceleme'yi seçin. TLS inceleme sayfasında Etkin'i seçin. Ardından, aşağıdaki şekilde Azure Key Vault ca sertifikanızı seçin:

Azure Güvenlik Duvarı Premium genel bakış diyagramı

Önemli

Bir sertifikayı Azure portal görmek ve yapılandırmak için Azure kullanıcı hesabını Key Vault Access ilkesine eklemeniz gerekir. Gizli İzinler altında kullanıcı hesabınıza Al ve Liste ver. Azure Key Vault Erişim ilkesi

Kendi otomatik olarak imzalanan CA sertifikanızı oluşturma

TLS incelemeyi test etmek ve doğrulamak için kendi sertifikalarınızı oluşturmak için aşağıdaki betikleri kullanarak kendi otomatik olarak imzalanan Kök CA'nızı ve Ara CA'nızı oluşturabilirsiniz.

Önemli

Üretim için, bir Ara CA sertifikası oluşturmak için kurumsal PKI'nızı kullan gerekir. Şirket PKI'sı, mevcut altyapıdan faydalanır ve tüm uç nokta makinelerine Kök CA dağıtımını işler. Daha fazla bilgi için bkz. sertifikalar için Enterprise CA sertifikalarını dağıtma ve Azure Güvenlik Duvarı.

Bu betiğin iki sürümü vardır:

  • bash betiği cert.sh
  • PowerShell betiği cert.ps1

Ayrıca, her iki betik de openssl.cnf yapılandırma dosyasını kullanır. Betikleri kullanmak için , ve veya openssl.cnf içeriğini cert.sh yerel cert.ps1 bilgisayarınıza kopyalayın.

Betikler aşağıdaki dosyaları üretir:

  • rootCA.crt/rootCA.key - Kök CA ortak sertifikası ve özel anahtar.
  • interCA.crt/interCA.key - Ara CA ortak sertifikası ve özel anahtar
  • interCA.pfx - Güvenlik duvarı tarafından kullanılacak ara CA pkcs12 paketi

Önemli

rootCA.key güvenli bir çevrimdışı konumda depolanmış olması gerekir. Betikler 1024 gün geçerliliği olan bir sertifika üretir. Betikler için yerel makinenize yüklenmiş olan openssl ikili dosyaları gerekir. Daha fazla bilgi için bkz. https://www.openssl.org/

Sertifikalar oluşturulduktan sonra bunları aşağıdaki konumlara dağıtın:

  • rootCA.crt - Uç nokta makinelerde dağıtın (yalnızca genel sertifika).
  • interCA.pfx - Bir sertifika üzerinde sertifika olarak Key Vault güvenlik duvarı ilkesine atfın.

openssl.cnf

[ req ]
default_bits        = 4096
distinguished_name  = req_distinguished_name
string_mask         = utf8only
default_md          = sha512

[ req_distinguished_name ]
countryName                     = Country Name (2 letter code)
stateOrProvinceName             = State or Province Name
localityName                    = Locality Name
0.organizationName              = Organization Name
organizationalUnitName          = Organizational Unit Name
commonName                      = Common Name
emailAddress                    = Email Address

[ rootCA_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ interCA_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:1
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ server_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:false
keyUsage = critical, digitalSignature
extendedKeyUsage = serverAuth

Bash betiği - cert.sh

#!/bin/bash

# Create root CA
openssl req -x509 -new -nodes -newkey rsa:4096 -keyout rootCA.key -sha256 -days 1024 -out rootCA.crt -subj "/C=US/ST=US/O=Self Signed/CN=Self Signed Root CA" -config openssl.cnf -extensions rootCA_ext

# Create intermediate CA request
openssl req -new -nodes -newkey rsa:4096 -keyout interCA.key -sha256 -out interCA.csr -subj "/C=US/ST=US/O=Self Signed/CN=Self Signed Intermediate CA"

# Sign on the intermediate CA
openssl x509 -req -in interCA.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out interCA.crt -days 1024 -sha256 -extfile openssl.cnf -extensions interCA_ext

# Export the intermediate CA into PFX
openssl pkcs12 -export -out interCA.pfx -inkey interCA.key -in interCA.crt -password "pass:"

echo ""
echo "================"
echo "Successfully generated root and intermediate CA certificates"
echo "   - rootCA.crt/rootCA.key - Root CA public certificate and private key"
echo "   - interCA.crt/interCA.key - Intermediate CA public certificate and private key"
echo "   - interCA.pfx - Intermediate CA pkcs12 package which could be uploaded to Key Vault"
echo "================"

PowerShell - cert.ps1

# Create root CA
openssl req -x509 -new -nodes -newkey rsa:4096 -keyout rootCA.key -sha256 -days 3650 -out rootCA.crt -subj '/C=US/ST=US/O=Self Signed/CN=Self Signed Root CA' -config openssl.cnf -extensions rootCA_ext

# Create intermediate CA request
openssl req -new -nodes -newkey rsa:4096 -keyout interCA.key -sha256 -out interCA.csr -subj '/C=US/ST=US/O=Self Signed/CN=Self Signed Intermediate CA'

# Sign on the intermediate CA
openssl x509 -req -in interCA.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out interCA.crt -days 3650 -sha256 -extfile openssl.cnf -extensions interCA_ext

# Export the intermediate CA into PFX
openssl pkcs12 -export -out interCA.pfx -inkey interCA.key -in interCA.crt -password 'pass:'

Write-Host ""
Write-Host "================"
Write-Host "Successfully generated root and intermediate CA certificates"
Write-Host "   - rootCA.crt/rootCA.key - Root CA public certificate and private key"
Write-Host "   - interCA.crt/interCA.key - Intermediate CA public certificate and private key"
Write-Host "   - interCA.pfx - Intermediate CA pkcs12 package which could be uploaded to Key Vault"
Write-Host "================"

Sertifika otomatik oluşturma (önizleme)

Üretim dışı dağıtımlar için, aşağıdaki üç kaynağı sizin Azure Güvenlik Duvarı Premium otomatik olarak oluşturan Sertifika Otomatik Oluşturma mekanizmasını kullanabilirsiniz:

  • Yönetilen Kimlik
  • Key Vault
  • Otomatik olarak imzalanan Kök CA sertifikası

Yeni önizleme yönetilen kimliğini seçmeniz ve bu kimliğin üç kaynağı ilkenize bağ Premium TLS incelemesini ayarlar.

Otomatik olarak oluşturulan sertifikalar

Sorun giderme

CA sertifikanız geçerli ancak TLS denetimi altında FQDN'lere veya URL'lere erişe değil, aşağıdaki öğeleri kontrol edin:

  • Web sunucusu sertifikasının geçerli olduğundan emin olun.

  • Kök CA sertifikasının istemci işletim sisteminde yüklü olduğundan emin olmak.

  • Tarayıcının veya HTTPS istemcisinin geçerli bir kök sertifika içerdiğinden emin olun. Firefox ve diğer bazı tarayıcıların özel sertifika ilkeleri olabilir.

  • Uygulama kuralınıza URL hedef türünün doğru yolu ve hedef HTML sayfasına eklenmiş diğer tüm köprüleri kapsay olduğundan emin olun. Gerekli URL yolunun tamamını kolayca kapsamak için joker karakterler kullanabilirsiniz.

Sonraki adımlar