Настройка параметров инспекции безопасности уровня транспортного слоя (TLS)

Проверка протокола TLS в Microsoft Entra Internet Access использует двухуровневую модель промежуточного сертификата для выдачи динамически созданных конечных сертификатов для расшифровки трафика. В этой статье объясняется, как настроить центр сертификации (ЦС), который служит промежуточным ЦС глобального безопасного доступа, включая подпись и отправку сертификата.

Предпосылки

Чтобы выполнить действия в этом процессе, необходимо иметь следующие предварительные требования:

  • Служба инфраструктуры открытых ключей (PKI) для подписывания запроса подписи сертификата (CSR) и создания промежуточного сертификата для проверки TLS. В сценариях тестирования можно также использовать самозаверяющий корневой сертификат, созданный с помощью OpenSSL.
  • Пробная лицензия для Microsoft Entra Internet Access.
  • Предварительные требования для глобального безопасного доступа

Глобальный администратор безопасного доступа: создайте CSR и отправьте подписанный сертификат для завершения TLS

Чтобы создать CSR и отправить подписанный сертификат для завершения TLS:

  1. Войдите в Центр администрирования Microsoft Entra в качестве Администратора глобального безопасного доступа.

  2. Перейдите к Global Secure Access>Secure>политикам проверки TLS.

  3. Перейдите на вкладку параметров проверки TLS .

  4. Нажмите кнопку "+ Создать сертификат". Этот шаг начинается с создания запроса подписи сертификата (CSR).

  5. В области "Создание сертификата " введите следующие поля:

    • Имя сертификата: это имя отображается в иерархии сертификатов при просмотре в браузере. Он должен быть уникальным, содержать пробелы и не превышать 12 символов. Важно. Вы не можете повторно использовать предыдущие имена сертификатов даже после удаления.
    • Общее имя (CN): общее имя, например Contoso TLS ICA, идентифицирующее промежуточный сертификат.
    • Подразделение (OU): название организации, например ИТ-отдел Contoso.
  6. Выберите "Создать CSR". На этом шаге создается файл .csr и сохраняет его в папку загрузки по умолчанию. Снимок экрана: панель

  7. Подпишите CSR с помощью службы PKI. Убедитесь, что серверная аутентификация находится в расширенном использовании ключей, а certificate authority (CA)=true, keyCertSign,cRLSign, basicConstraints=critical,CA:TRUE и pathLenConstraint = 1 в базовом расширении. Сохраните подписанный сертификат в формате PEM. Если вы тестируете самозаверяющий сертификат, следуйте инструкциям, чтобы подписать CSR с помощью OpenSSL.

  8. Выберите +Отправить сертификат.

  9. В форме отправки сертификата отправьте файлы certificate.pem и chain.pem.

  10. Выберите "Отправить подписанный сертификат". Снимок экрана: форма отправки сертификата с примерами файлов сертификатов и цепочки сертификатов в полях отправки.

  11. По умолчанию загрузка сертификата имеет статус Отключено. Установите статус в Включено. У вас может быть один сертификат с поддержкой. Снимок экрана: вкладка параметров проверки TLS с состоянием сертификата включена.

Тестирование с использованием самоподписанного корневого центра сертификации через OpenSSL

В целях тестирования используйте только самозаверяющий корневой центр сертификации (ЦС), создаваемый с помощью OpenSSL, чтобы подписать CSR.

  1. Если у вас еще нет файла, сначала создайте файл opensl.cnf с этой конфигурацией:
[ rootCA_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ interCA_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:1
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ signedCA_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign
extendedKeyUsage = serverAuth

[ server_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:false
keyUsage = critical, digitalSignature
extendedKeyUsage = serverAuth
  1. Создайте новый корневой удостоверяющий центр и закрытый ключ, используя следующий файл конфигурации openssl.cnf:
    openssl req -x509 -new -nodes -newkey rsa:4096 -keyout rootCAchain.key -sha256 -days 370 -out rootCAchain.pem -subj "/C=US/ST=US/O=Self Signed/CN=Self Signed Root CA" -config openssl.cnf -extensions rootCA_ext
  2. Подпишите CSR с помощью следующей команды: openssl x509 -req -in <CSR file> -CA rootCAchain.pem -CAkey rootCAchain.key -CAcreateserial -out signedcertificate.pem -days 370 -sha256 -extfile openssl.cnf -extensions signedCA_ext
  3. Загрузите подписанные сертификаты (signedcertificate.pemи rootCAchain.pem) в соответствии с инструкциями, описанными в разделе Создание CSR и загрузка подписанного сертификата для завершения TLS.

Настройка проверки TLS в Microsoft Entra Internet Access

В следующем примере видео вы узнаете, как настроить проверку TLS в Microsoft Entra Internet Access с помощью самозаверяющего сертификата, созданного с помощью OpenSSL. Узнайте, как создавать политики проверки TLS, настраивать профили безопасности, применять фильтрацию веб-содержимого и применять политики условного доступа. Создайте настраиваемые страницы блоков и реализуйте политики аналитики угроз.

Примеры PowerShell для настройки центра сертификации для проверки TLS

Примеры настройки сертификата TLS с помощью ADCS и OpenSSL см. по следующим ссылкам: