Bereitstellen und Konfigurieren von Zertifikaten der Unternehmenszertifizierungsstelle für Azure Firewall

Azure Firewall Premium enthält ein TLS-Überprüfungsfeature, das eine Zertifikatauthentifizierungskette erfordert. Verwenden Sie für Produktionsbereitstellungen eine Unternehmens-PKI, um die Zertifikate zu generieren, die Sie mit Azure Firewall Premium verwenden. Anhand dieses Artikels können Sie ein Zertifikat der Zwischenzertifizierungsstelle für Azure Firewall Premium erstellen und verwalten.

Weitere Informationen zu den von Azure Firewall Premium verwendeten Zertifikaten finden Sie unter Zertifikate der Vorschauversion von Azure Firewall Premium.

Voraussetzungen

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Um eine Unternehmenszertifizierungsstelle zum Generieren eines Zertifikats für die Verwendung mit Azure Firewall Premium zu verwenden, benötigen Sie die folgenden Ressourcen:

• eine Active Directory-Gesamtstruktur
• eine Active Directory-Stammzertifizierungsstelle für Zertifizierungsdienste mit aktivierter Webregistrierung
• eine Firewallrichtlinie für Azure Firewall Premium mit Premium-Tarif
• einenAzure Key Vault
• eine verwaltete Identität mit Leseberechtigungen für Zertifikate und Geheimnisse, die in der Key Vault-Zugriffsrichtlinie definiert sind

Erstellen einer neuen untergeordneten Zertifikatvorlage

1. Führen Sie certtmpl.msc aus, um die Zertifikatvorlagenkonsole zu öffnen.

2. Suchen Sie in der Konsole nach der Vorlage Untergeordnete Zertifizierungsstelle.

3. Klicken Sie mit der rechten Maustaste auf die Vorlage Untergeordnete Zertifizierungsstelle und wählen Sie Vorlage duplizieren aus.

4. Wechseln Sie im Fenster Eigenschaften der neuen Vorlage zur Registerkarte Kompatibilität und legen Sie die entsprechenden Kompatibilitätseinstellungen fest, oder übernehmen Sie die Standardeinstellung.

5. Wechseln Sie zur Registerkarte Allgemein, legen Sie den Vorlagenanzeigename fest (z. B. My Subordinate CA), und passen Sie bei Bedarf den Gültigkeitszeitraum an. Aktivieren Sie wahlweise das Kontrollkästchen Zertifikat in Active Directory veröffentlichen.

6. Überprüfen Sie unter der Registerkarte Einstellungen, ob die erforderlichen Benutzer und Gruppen über Lese- und enroll-Berechtigungen verfügen.

7. Navigieren Sie zur Registerkarte Erweiterungen, wählen Sie Schlüsselverwendung und dann Bearbeiten aus.

   • Stellen Sie sicher, dass die Kontrollkästchen Digitale Signatur, Zertifikatsignierung und CRL-Signierung aktiviert sind.
   • Aktivieren Sie das Kontrollkästchen Diese Erweiterung als kritisch festlegen und klicken Sie auf OK.

   

8. Klicken Sie auf OK, um die neue Zertifikatvorlage zu speichern.

9. Stellen Sie sicher, dass die neue Vorlage aktiviert ist, damit sie zum Ausstellen von Zertifikaten verwendet werden kann.

Anfordern und Exportieren eines Zertifikats

1. Greifen Sie auf die Webregistrierungswebsite in der Stammzertifizierungsstelle zu, normalerweise https://<servername>/certsrv, und wählen Sie Zertifikat anfordern aus.

2. Wählen Sie Erweiterte Zertifikatanforderung aus.

3. Wählen Sie Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen aus.

4. Füllen Sie das Formular mithilfe der Vorlage „Untergeordnete Zertifizierungsstelle“ aus, die Sie im vorherigen Abschnitt erstellt haben.

5. Reichen Sie die Anforderung ein, und installieren Sie das Zertifikat.

6. Wenn Sie diese Anforderung von einem Windows Server mit Internet Explorer ausführen, öffnen Sie Internetoptionen.

7. Navigieren Sie zur Registerkarte Inhalt, und wählen Sie Zertifikate aus.

8. Wählen Sie das Zertifikat aus, das die Zertifizierungsstelle ausgestellt hat, und wählen Sie dann "Exportieren" aus.

9. Wählen Sie Weiter aus, um den Assistenten zu starten. Wählen Sie Ja, privaten Schlüssel exportieren und dann Weiter aus.

10. Der Assistent wählt standardmäßig das PFX-Dateiformat aus. Deaktivieren Sie Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen. Wenn Sie die gesamte Zertifikatkette exportieren, schlägt der Importvorgang in azure Firewall fehl.

11. Weisen Sie ein Kennwort zu, um den Schlüssel zu schützen, und bestätigen Sie es. Wählen Sie dann Weiter aus.

12. Wählen Sie einen Dateinamen und einen Exportspeicherort und dann Weiter aus.

13. Wählen Sie Fertigstellen aus, und verschieben Sie das exportierte Zertifikat an einen sicheren Speicherort.

Hinzufügen des Zertifikats zu einer Firewallrichtlinie

1. Wechseln Sie im Azure-Portal zur Seite "Zertifikate" Ihres Key Vault, und wählen Sie "Generieren/Importieren" aus.

2. Wählen Sie "Als Erstellungsmethode importieren" aus. Geben Sie einen Namen für das Zertifikat ein, wählen Sie die exportierte PFX-Datei aus, geben Sie das Kennwort ein, und wählen Sie dann "Erstellen" aus.

3. Wechseln Sie zur Seite "TLS-Überprüfung " Ihrer Firewallrichtlinie, und wählen Sie Ihre verwaltete Identität, den Schlüsseltresor und das Zertifikat aus.

4. Wählen Sie Speichern.

Überprüfen der TLS-Überprüfung

1. Erstellen Sie eine Anwendungsregel, die TLS-Inspektion für die Ziel-URL oder den FQDN Ihrer Wahl verwendet. Beispiel: *bing.com.

2. Wechseln Sie von einem in die Domäne eingebundenen Computer im Quellbereich der Regel zu Ihrem Ziel, und wählen Sie das Sperrsymbol neben der Adressleiste in Ihrem Browser aus. Das Zertifikat sollte anzeigen, dass Ihre Unternehmenszertifizierungsstelle sie statt einer öffentlichen Zertifizierungsstelle ausgestellt hat.

3. Zeigen Sie das Zertifikat an, um weitere Details zu sehen, einschließlich des Zertifikatpfads.

4. Führen Sie in Log Analytics die folgende KQL-Abfrage aus, um alle Anforderungen zurückzugeben, die der TLS-Inspektion unterliegen:

   AzureDiagnostics 
   | where ResourceType == "AZUREFIREWALLS" 
   | where Category == "AzureFirewallApplicationRule" 
   | where msg_s contains "Url:" 
   | sort by TimeGenerated desc
   

   Im Ergebnis wird die vollständige URL des überprüften Datenverkehrs gezeigt:

Nächste Schritte

• Azure Firewall Premium im Azure-Portal
• Erstellen eines POC für TLS-Inspektion in Azure Firewall