目次
はじめに
Azure FirewallのPremium機能の1つである「TLSインスペクション」を使うために
必要なリソースと各設定の備忘録です。
本記事でやること
①KeyVault(キーコンテナー)の作成
②KeyVaultに中間証明書を格納する
③マネージドIDの設定
Azure Firewallの作成と設定は別記事で記載します。
Azure Firewallの「TLSインスペクション」とは
Azure Firewall Premium の機能 | Microsoft Learn
上記公式ドキュメントによると、
HTTPS接続の際にKeyVaultに格納した中間証明書を使用し、Web サーバー証明書を置き換え、
クライアントと共有してファイアウォールとクライアント間のTLS 接続を確立するとのこと。
なんとなく「各クライアントに中間証明書やサーバー証明書を配ったりする必要がない?のか?」
と、この時点ではほんのり理解。
環境構築
①KeyVault(キーコンテナー)の作成
Azureのポータル画面から、「KeyVault(キーコンテナー)」を検索し、キーコンテナー一覧画面で[作成]をクリックします。
[基本]タブでは「サブスクリプション」「リソースグループ」「KeyVault名」などを指定します。
「地域」【東日本】、「価格レベル」【標準】、検証のため「消去保護」【無効】で作成しています。
[アクセス構成]タブでは「アクセス許可モデル」「リソースアクセス」「アクセスポリシー」を指定します。
Azure FirewallでTLS検査を設定する際、「アクセス許可モデル」【Azure ロールベースのアクセス制御】は本記事執筆時点ではサポートされていません。
そのため、【コンテナーのアクセスポリシー】を選択します。
Azure Firewall Premium の証明書 | Microsoft Learn
「アクセスポリシー」にはKeyVault内の証明書登録・更新を実施するユーザーを設定します。
[ネットワーク]タブはデフォルト設定のまま確認画面へ進み、[作成]をクリックします。
デプロイが完了し、KeyVaultが作成されました。
KeyVaultに中間証明書を格納する
作成したKeyVault[オブジェクト]メニューから[証明書]を選択し、[生成/インポート]をクリックします。
[証明書の作成方法]で【インポート】を選択し、事前に用意した中間証明書ファイルをアップロードします。
[証明書の名前]と[パスワード]は任意の値を設定してください。
KeyVaultの証明書一覧で[完了]項目にインポートした証明書が表示されます。
マネージドIDの設定
KeyVaultのアクセスポリシー設定用のマネージドIDを作成します。
今回[リージョン]は【東日本】、[名前]は任意の値を設定しています。
KeyVaultの[アクセスポリシー]へ移動し、[作成]をクリックします。
[アクセス許可]タブで必要なアクセス許可を選択します。
Azure Firewallで「TLSインスペクション」使うためには[シークレットのアクセス許可]で【取得】【一覧】が必要となります。
[プリンシパル]タブで作成したマネージドIDを選択します。
[確認および作成]タブへ移動し、[作成]をクリックします。
KeyVaultのアクセスポリシー一覧で[アプリケーション]項目に対象のマネージドIDが表示されます。
まとめ
Azure Firewallで「TLSインスペクション」使うために、まずはKeyVaultを準備しました。
この後はAzure Firewall側の設定を実施します。 KeyVault側でマネージドIDに対して[アクセスポリシー]の設定ができていないと
Azure Firewall側で設定する際、中間証明書を読み込めないのでご注意ください。
