Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Проверка протокола TLS в Microsoft Entra Internet Access использует двухуровневую модель промежуточного сертификата для выдачи динамически созданных конечных сертификатов для расшифровки трафика. В этой статье объясняется, как настроить центр сертификации (ЦС), который служит промежуточным ЦС глобального безопасного доступа, включая подпись и отправку сертификата.
Предпосылки
Чтобы выполнить действия в этом процессе, необходимо иметь следующие предварительные требования:
- Служба инфраструктуры открытых ключей (PKI) для подписывания запроса подписи сертификата (CSR) и создания промежуточного сертификата для проверки TLS. В сценариях тестирования можно также использовать самозаверяющий корневой сертификат, созданный с помощью OpenSSL.
- Пробная лицензия для Microsoft Entra Internet Access.
- Предварительные требования для глобального безопасного доступа
Глобальный администратор безопасного доступа: создайте CSR и отправьте подписанный сертификат для завершения TLS
Чтобы создать CSR и отправить подписанный сертификат для завершения TLS:
Войдите в Центр администрирования Microsoft Entra в качестве Администратора глобального безопасного доступа.
Перейдите к Global Secure Access>Secure>политикам проверки TLS.
Перейдите на вкладку параметров проверки TLS .
Нажмите кнопку "+ Создать сертификат". Этот шаг начинается с создания запроса подписи сертификата (CSR).
В области "Создание сертификата " введите следующие поля:
- Имя сертификата: это имя отображается в иерархии сертификатов при просмотре в браузере. Он должен быть уникальным, содержать пробелы и не превышать 12 символов. Важно. Вы не можете повторно использовать предыдущие имена сертификатов даже после удаления.
- Общее имя (CN): общее имя, например Contoso TLS ICA, идентифицирующее промежуточный сертификат.
- Подразделение (OU): название организации, например ИТ-отдел Contoso.
Выберите "Создать CSR". На этом шаге создается файл .csr и сохраняет его в папку загрузки по умолчанию.
Подпишите CSR с помощью службы PKI. Убедитесь, что серверная аутентификация находится в расширенном использовании ключей, а
certificate authority (CA)=true,keyCertSign,cRLSign,basicConstraints=critical,CA:TRUEиpathLenConstraint = 1в базовом расширении. Сохраните подписанный сертификат в формате PEM. Если вы тестируете самозаверяющий сертификат, следуйте инструкциям, чтобы подписать CSR с помощью OpenSSL.Выберите +Отправить сертификат.
В форме отправки сертификата отправьте файлы certificate.pem и chain.pem.
Выберите "Отправить подписанный сертификат".
По умолчанию загрузка сертификата имеет статус Отключено. Установите статус в Включено. У вас может быть один сертификат с поддержкой.
Тестирование с использованием самоподписанного корневого центра сертификации через OpenSSL
В целях тестирования используйте только самозаверяющий корневой центр сертификации (ЦС), создаваемый с помощью OpenSSL, чтобы подписать CSR.
- Если у вас еще нет файла, сначала создайте файл opensl.cnf с этой конфигурацией:
[ rootCA_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign
[ interCA_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:1
keyUsage = critical, digitalSignature, cRLSign, keyCertSign
[ signedCA_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign
extendedKeyUsage = serverAuth
[ server_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:false
keyUsage = critical, digitalSignature
extendedKeyUsage = serverAuth
- Создайте новый корневой удостоверяющий центр и закрытый ключ, используя следующий файл конфигурации openssl.cnf:
openssl req -x509 -new -nodes -newkey rsa:4096 -keyout rootCAchain.key -sha256 -days 370 -out rootCAchain.pem -subj "/C=US/ST=US/O=Self Signed/CN=Self Signed Root CA" -config openssl.cnf -extensions rootCA_ext - Подпишите CSR с помощью следующей команды:
openssl x509 -req -in <CSR file> -CA rootCAchain.pem -CAkey rootCAchain.key -CAcreateserial -out signedcertificate.pem -days 370 -sha256 -extfile openssl.cnf -extensions signedCA_ext - Загрузите подписанные сертификаты (
signedcertificate.pemиrootCAchain.pem) в соответствии с инструкциями, описанными в разделе Создание CSR и загрузка подписанного сертификата для завершения TLS.
Настройка проверки TLS в Microsoft Entra Internet Access
В следующем примере видео вы узнаете, как настроить проверку TLS в Microsoft Entra Internet Access с помощью самозаверяющего сертификата, созданного с помощью OpenSSL. Узнайте, как создавать политики проверки TLS, настраивать профили безопасности, применять фильтрацию веб-содержимого и применять политики условного доступа. Создайте настраиваемые страницы блоков и реализуйте политики аналитики угроз.
Примеры PowerShell для настройки центра сертификации для проверки TLS
Примеры настройки сертификата TLS с помощью ADCS и OpenSSL см. по следующим ссылкам: