通过

配置传输层安全检查设置(预览版)

Microsoft Entra Internet Access 中的传输层安全性(TLS)检查使用两层中间证书模型来颁发动态生成的叶证书来解密流量。 本文介绍如何配置充当全局安全访问中间 CA 的证书颁发机构(CA),包括签名和上传证书。

重要

传输层安全检查功能目前以预览版提供。
此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft 不对此处提供的信息作任何明示或默示的担保。
在预览版中,请勿在生产环境中使用 TLS 检查。

先决条件

若要完成此过程中的步骤,必须满足以下先决条件:

  • 用于对证书签名请求(CSR)进行签名的公钥基础结构(PKI)服务,并生成用于 TLS 检查的中间证书。 对于测试方案,还可以使用使用 OpenSSL 创建的自签名根证书。
  • Microsoft Entra Internet Access 的试用许可证。
  • 全局安全访问先决条件

全局安全访问管理员:创建 CSR 并上传 TLS 终止的签名证书

若要创建 CSR 并上传 TLS 终止的签名证书,请执行以下作:

  1. 全局安全访问管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到 全局安全访问>安全>TLS 检查策略

  3. 切换到 “TLS 检查设置 ”选项卡。

  4. 选择 “+ 创建证书”。 此步骤首先生成证书签名请求(CSR)。

  5. “创建证书 ”窗格中,填写以下字段:

    • 证书名称:在浏览器中查看时,此名称将显示在证书层次结构中。 它必须是唯一的,不包含空格,且长度不超过 12 个字符。 不能重复使用以前的名称。
    • 公用名 (CN):公用名,例如 Contoso TLS ICA,用于标识中间证书。
    • 组织单位 (OU):组织名称,例如 Contoso IT。

  6. 选择“ 创建 CSR”。 此步骤将创建一个.csr文件,并将其保存到默认下载文件夹。 “创建证书”窗格的屏幕截图,其中已填充字段,并突出显示了“创建 CSR”按钮。

  7. 使用 PKI 服务对 CSR 进行签名。 请确保服务器身份验证位于扩展密钥用法中,并且certificate authority (CA)=truekeyCertSign,cRLSignbasicConstraints=critical,CA:TRUE位于基本扩展中。 以 .pem 格式保存已签名的证书。 如果要使用自签名证书进行测试,请按照说明 使用 OpenSSL 对 CSR 进行签名

  8. 选择 “+ 上传证书”。

  9. 在“上传证书”窗体中,上传 certificate.pem 和 chain.pem 文件。

  10. 选择 “上传签名证书”。 上传证书表单的屏幕截图,其中显示了上传字段中的示例证书和链接证书文件。

  11. 证书上传后,状态将更改为 “活动”。 目前支持 一个 活动证书。 TLS 检查设置选项卡的屏幕截图,其中证书状态设置为“活动”。

使用 OpenSSL 并通过自签名根证书颁发机构进行测试

仅用于测试目的,请使用使用 OpenSSL 创建的自签名根证书颁发机构(CA)对 CSR 进行签名。

  1. 如果还没有,请先使用此配置创建 openssl.cnf 文件:
[ rootCA_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ interCA_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:1
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ signedCA_ext ]
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign
extendedKeyUsage = serverAuth

[ server_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:false
keyUsage = critical, digitalSignature
extendedKeyUsage = serverAuth
  1. 使用以下 openssl.cnf 配置文件创建新的根证书颁发机构和私钥:
    openssl req -x509 -new -nodes -newkey rsa:4096 -keyout rootCAchain.key -sha256 -days 370 -out rootCAchain.pem -subj "/C=US/ST=US/O=Self Signed/CN=Self Signed Root CA" -config openssl.cnf -extensions rootCA_ext
  2. 使用以下命令对 CSR 进行签名: openssl x509 -req -in <CSR file> -CA rootCAchain.pem -CAkey rootCAchain.key -CAcreateserial -out signedcertificate.pem -days 370 -sha256 -extfile openssl.cnf -extensions signedCA_ext
  3. 根据“创建 CSR”中的步骤上传已签名的证书(signedcertificate.pem以及 rootCAchain.pem), 并上传 TLS 终止的签名证书

用于配置证书颁发机构进行 TLS 检查的 PowerShell 示例

可以在以下链接中找到使用 ADCS 和 OpenSSL 配置 TLS 证书的示例:

相关内容