Compartir a través de

Implementación y configuración de certificados de entidad de certificación de empresa para Azure Firewall

En Azure Firewall Premium se incluye una característica de inspección de TLS, que requiere una cadena de autenticación de certificado. En el caso de las implementaciones de producción, use una PKI empresarial para generar los certificados que se usan con Azure Firewall Premium. Use este artículo para crear y administrar un certificado de entidad de certificación intermedio para Azure Firewall Premium.

Para más información sobre los certificados que usa Azure Firewall Premium, consulte Certificados de Azure Firewall Premium.

Requisitos previos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Para usar una ENTIDAD de certificación empresarial para generar un certificado para usarlo con Azure Firewall Premium, necesita los siguientes recursos:

  • un bosque de Active Directory
  • una entidad de certificación raíz de servicios de certificación de Active Directory con inscripción en web habilitada
  • una instancia de Azure Firewall Prémium con directiva de firewall de nivel Prémium
  • una instancia de Azure Key Vault
  • una identidad administrada con permisos de lectura para los certificados y secretos definidos en la directiva de acceso de Key Vault

Creación de una nueva plantilla de certificado subordinado

  1. Ejecute certtmpl.msc para abrir la consola de plantillas de certificado.

  2. Busque la plantilla Entidad de certificación subordinada en la consola.

  3. Haga clic con el botón derecho en la plantilla Entidad de certificación subordinada y seleccione Plantilla duplicada.

  4. En la ventana Propiedades de la nueva plantilla, vaya a la pestaña Compatibilidad y establezca la configuración de compatibilidad adecuada o déjela como predeterminada.

  5. Vaya a la pestaña General, establezca el Nombre para mostrar de plantilla (por ejemplo: My Subordinate CA) y ajuste el período de validez si es necesario. Opcionalmente, active la casilla Publicar certificado en Active Directory.

  6. En la pestaña Configuración, asegúrese de que los usuarios y grupos necesarios tengan permisos de lectura y enroll.

  7. Vaya a la pestaña Extensiones, seleccione Uso de claves y seleccione Editar.

    • Asegúrese de que las casillas Firma digital, Firma de certificado y Firma CRL están activadas.
    • Active la casilla Hacer que esta extensión sea crítica y seleccione Aceptar.

    Captura de pantalla de las extensiones de uso de clave de plantilla de certificado.

  8. Seleccione Aceptar para guardar la nueva plantilla de certificado.

  9. Asegúrese de que la nueva plantilla está habilitada para que se pueda usar para emitir certificados.

Solicitar y exportar un certificado

  1. Acceda al sitio de inscripción web en la Autoridad de Certificación Raíz, normalmente https://<servername>/certsrv, y seleccione Solicitar un certificado.

  2. Seleccione Solicitud de certificado avanzada.

  3. Seleccione Crear y enviar una solicitud a esta CA.

  4. Rellene el formulario con la plantilla Entidad de certificación subordinada creada en la sección anterior. Captura de pantalla de la solicitud de certificado avanzada

  5. Envíe la solicitud e instale el certificado.

  6. Suponiendo que realice esta solicitud desde windows Server mediante Internet Explorer, abra Opciones de Internet.

  7. Vaya a la pestaña Contenido y seleccione Certificados.

  8. Seleccione el certificado emitido por la ENTIDAD de certificación y, a continuación, seleccione Exportar.

  9. Seleccione Siguiente para iniciar el asistente. Seleccione Sí, exportar la clave privada y, después, haga clic en Siguiente.

  10. El asistente selecciona el formato de archivo .pfx de forma predeterminada. Desactive Incluir todos los certificados en la ruta de certificación si es posible. Si exporta toda la cadena de certificados, se produce un error en el proceso de importación en Azure Firewall.

  11. Asigne y confirme una contraseña para proteger la clave y, a continuación, seleccione Siguiente.

  12. Elija un nombre de archivo y una ubicación de exportación y, a continuación, seleccione Siguiente.

  13. Seleccione Finalizar y mueva el certificado exportado a una ubicación segura.

Agregar el certificado a una directiva de firewall

  1. En Azure Portal, vaya a la página Certificados del almacén de claves y seleccione Generar o importar.

  2. Seleccione Importar como método de creación. Escriba un nombre para el certificado, seleccione el archivo .pfx exportado, escriba la contraseña y, a continuación, seleccione Crear.

  3. Vaya a la página Inspección de TLS de la directiva de firewall y seleccione la identidad administrada, Key Vault y el certificado.

  4. Seleccione Guardar.

Validar la inspección de TLS

  1. Cree una regla de aplicación que use la inspección de TLS para la dirección URL de destino o el FQDN que prefiera. Por ejemplo: *bing.com.

  2. Desde una máquina unida a un dominio dentro del intervalo de origen de la regla, vaya al destino y seleccione el símbolo de bloqueo situado junto a la barra de direcciones del explorador. El certificado debe mostrar que la ENTIDAD de certificación empresarial la emitió en lugar de una CA pública. Captura de pantalla que muestra la cadena de certificados

  3. Muestre el certificado para mostrar más detalles, incluida la ruta de acceso del certificado. detalles del certificado

  4. En Log Analytics, ejecute la siguiente consulta KQL para devolver todas las solicitudes que están sujetas a la inspección de TLS:

    AzureDiagnostics 
| where ResourceType == "AZUREFIREWALLS" 
| where Category == "AzureFirewallApplicationRule" 
| where msg_s contains "Url:" 
| sort by TimeGenerated desc

    En el resultado se muestra la dirección URL completa del tráfico inspeccionado: consulta de KQL

Pasos siguientes

  • Last updated on