Azure Güvenlik Duvarı için Kurumsal CA sertifikalarını dağıtma ve yapılandırma

Azure Güvenlik Duvarı Premium, sertifika kimlik doğrulama zinciri gerektiren bir TLS denetleme özelliği içerir. Üretim dağıtımlarında, Azure Güvenlik Duvarı Premium ile kullandığınız sertifikaları oluşturmak için Kurumsal PKI kullanmanız gerekir. Azure Güvenlik Duvarı Premium için ara CA sertifikası oluşturmak ve yönetmek için bu makaleyi kullanın.

Azure Güvenlik Duvarı Premium tarafından kullanılan sertifikalar hakkında daha fazla bilgi için bkz. premium sertifikaları Azure Güvenlik Duvarı.

Ön koşullar

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Kurumsal CA kullanarak Azure Güvenlik Duvarı Premium ile kullanılacak bir sertifika oluşturmak için aşağıdaki kaynaklara sahip olmanız gerekir:

• Active Directory Ormanı
• Web Kaydı etkinleştirilmiş bir Active Directory Sertifika Hizmetleri Kök CA'sı
• Premium katmanı Güvenlik Duvarı İlkesi ile Azure Güvenlik Duvarı Premium
• Azure Key Vault
• Key Vault Erişim İlkesi'nde tanımlanan Sertifikalar ve Gizli Diziler için Okuma izinlerine sahip yönetilen kimlik

Sertifika isteme ve dışarı aktarma

1. Genellikle Kök CA'da https://<servername>/certsrv web kayıt sitesine erişin ve Sertifika İste'yi seçin.
2. Gelişmiş Sertifika İsteği'ni seçin.
3. Bu CA'ya İstek Oluştur ve Gönder'i seçin.
4. Alt Sertifika Yetkilisi şablonunu kullanarak formu doldurun.
5. İsteği gönderin ve sertifikayı yükleyin.
6. Bu isteğin Internet Explorer kullanılarak bir Windows Server'dan yapıldığını varsayarsak Internet Seçenekleri'ni açın.
7. İçerik sekmesine gidin ve Sertifikalar'ı seçin.
8. Yeni verilen sertifikayı seçin ve ardından Dışarı Aktar'ı seçin.
9. Sihirbazı başlatmak için İleri'yi seçin. Evet'i seçin, özel anahtarı dışarı aktarın ve ardından İleri'yi seçin.
10. .pfx dosya biçimi varsayılan olarak seçilidir. Mümkünse tüm sertifikaları sertifika yoluna ekle seçeneğinin işaretini kaldırın. Sertifika zincirinin tamamını dışarı aktarırsanız, Azure Güvenlik Duvarı içeri aktarma işlemi başarısız olur.
11. Anahtarı korumak için bir parola atayın ve onaylayın ve ardından İleri'yi seçin.
12. Bir dosya adı ve dışarı aktarma konumu seçin ve ardından İleri'yi seçin.
13. Son'u seçin ve dışarı aktarılan sertifikayı güvenli bir konuma taşıyın.

Sertifikayı Güvenlik Duvarı İlkesine ekleme

1. Azure portalında Key Vault'unuzun Sertifikalar sayfasına gidin ve Oluştur/İçeri Aktar'ı seçin.
2. Oluşturma yöntemi olarak İçeri Aktar'ı seçin, sertifikayı adlandırın, dışarı aktarılan .pfx dosyasını seçin, parolayı girin ve oluştur'u seçin.
3. Güvenlik Duvarı ilkenizin TLS Denetleme sayfasına gidin ve Yönetilen kimliğinizi, Key Vault'unuzu ve sertifikanızı seçin.
4. Kaydet'i seçin.

TLS incelemeyi doğrulama

1. Seçtiğiniz hedef URL veya FQDN'de TLS incelemesini kullanarak bir Uygulama Kuralı oluşturun. Örneğin: *bing.com.
2. Kuralın Kaynak aralığındaki etki alanına katılmış bir makineden Hedefinize gidin ve tarayıcınızdaki adres çubuğunun yanındaki kilit simgesini seçin. Sertifikanın genel CA yerine Kurumsal CA'nız tarafından verildiği gösterilmelidir.
3. Sertifika yolu da dahil olmak üzere daha fazla ayrıntı görüntülemek için sertifikayı gösterin.
4. Log Analytics'te aşağıdaki KQL sorgusunu çalıştırarak TLS denetimine tabi olan tüm istekleri döndürebilirsiniz:

   AzureDiagnostics 
   | where ResourceType == "AZUREFIREWALLS" 
   | where Category == "AzureFirewallApplicationRule" 
   | where msg_s contains "Url:" 
   | sort by TimeGenerated desc
   

   Sonuç, denetlenen trafiğin tam URL'sini gösterir:

Sonraki adımlar

• Azure portalında Premium'Azure Güvenlik Duvarı
• Azure Güvenlik Duvarı'da TLS denetimi için POC oluşturma