RFC 8555’te tanımlandığı gibi Otomatik Sertifika Yönetim Ortamı (ACME), ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s Encrypt sertifika yetkilisi ( https://letsencrypt.org ) tarafından kullanılır . FortiGate, Let’s Encrypt tarafından yönetilen sertifikaları ve ACME protokolünü kullanan diğer sertifika yönetim hizmetlerini kullanacak şekilde yapılandırılabilir. Sunucu sertifikaları, FortiGate’de güvenli yönetici oturumu açmak için kullanılabilir.
FortiGate’in genel bir IP adresine ve DNS’de (FQDN) genel IP adresine çözümlenen bir ana bilgisayar adına sahip olması gerekir. FortiGate’in ACME güncelleme isteklerini dinleyebilmesi için, yapılandırılmış ACME arayüzü halka açık olmalıdır. 80 (HTTP) veya 443 (HTTPS) bağlantı noktasında VIP’leri veya bağlantı noktası yönlendirmesi olmamalıdır. Konu Alternatif Adı (SAN) alanı, FortiGate DNS ana bilgisayar adı ile otomatik olarak doldurulur. Düzenlenemez, joker karakterler kullanılamaz ve birden çok SAN eklenemez. Bu örnek, Let’s Encrypt’ten bir ACME sertifikasının nasıl içe aktarılacağını ve FortiGate’e güvenli uzaktan yönetici erişimi için nasıl kullanılacağını gösterir.
GUI’de bir ACME sertifikası almak için:
- System> Certificates ve ardından Import> Local Certificates.
- Type: Automated olarak ayarlayın.
- Sertifika adını sertifika için uygun bir ada ayarlayın.
- Etki Alanı’nı FortiGate’in genel FQDN’sine ayarlayın.
- E -postayı geçerli bir e-posta adresine ayarlayın. E-posta kayıt işlemi sırasında kullanılmaz.
- ACME hizmetinin Let’s Encrypt olarak ayarlandığından emin olun.
- Son kalan ayarları yapıp OK diyerek çıkıyoruz.
- Bu FortiGate’de Let’s Encrypt ile ilk kez bir sunucu sertifikası kaydediliyorsa, Set ACME Arayüz bölmesi açılır. FortiGate’in Let’s Encrypt ile iletişim kurduğu arayüzü seçin, ardından Tamam’a tıklayın.
ACME arayüzü daha sonra System> Settings’den değiştirilebilir.
- Yeni sunucu sertifikası Local Certificates listesine eklenir. FortiGate’in FQDN’sinin sertifikanın Subject: Common Name (CN) bölümünde olduğunu doğrulamak için View Details’e tıklayın.
GUI’deki yeni genel Let’s Encrypt sunucu sertifikasıyla varsayılan FortiGate yönetim sunucusu sertifikasını değiştirmek için:
- System > Settings sekmesine gidiyoruz.
- HTTPS server sertifikasını yeni olarak seçiyoruz.
- Uygula’ya tıklıyoruz.
Bir ACME sertifikasını CLI’ye aktarmak için:
- FortiGate’in Let’s Encrypt ile iletişim kuracağı arayüzü şu şekilde ayarlayın:
config system acme
set interface “port1”
end
- FortiGate’in Let’s Encrypt kayıt sunucusuyla iletişim kurabildiğinden emin olun:
# execute ping acme-v02.api.letsencrypt.orgPING ca80a1adb12a4fbdac5ffcbc944e9a61.pacloudflare.com (172.65.32.248): 56 data bytes64 bytes from 172.65.32.248: icmp_seq=0 ttl=60 time=2.0 ms64 bytes from
172.65.32.248: icmp_seq=1 ttl=60 time=1.7 ms64 bytes from 172.65.32.248: icmp_seq=2 ttl=60 time=1.7 ms64
bytes from 172.65.32.248: icmp_seq=3 ttl=60 time=2.1 ms64 bytes from 172.65.32.248: icmp_seq=4 ttl=60
time=2.0 ms — ca80a1adb12a4fbdac5ffcbc944e9a61.pacloudflare.com ping statistics —5 packets transmitted, 5
packets received, 0% packet lossround-trip min/avg/max = 1.7/1.9/2.1 ms
- Yerel sertifika isteğini yapılandırın:
config vpn certificate local edit “acme-test”
set enroll-protocol acme2
set acme-domain “test.ftntlab.de”
set acme-email “[email protected]”
next
By enabling this feature you declare that you agree to the Terms of Service at https://acme-v02.api.letsencrypt.org/directory
Do you want to continue? (y/n)y
end
- Kaydın başarılı olduğunu doğrulayın:
# get vpn certificate local details acme-testpath=vpn.certificate, objname=local, tablename=(null), size=2632== [ acme-test ]
Name: acme-test
Subject: CN = test.ftntlab.de
Issuer: C = US, O = Let’s Encrypt, CN = R3
Valid from: 2021-03-11 17:43:04 GMT
Valid to: 2021-06-09 17:43:04 GMT
Fingerprint: 9A:03:0F:41:29:D7:01:45:04:F3:16:C0:BD:63:A2:DB
Serial Num: 03:d3:55:80:d2:e9:01:b4:ca:80:3f:2e:fc:24:65:ad:7c:0c
ACME details: Status: The certificate for the managed domain has been renewed successfully and can be used (valid since Thu, 11 Mar 2021 17:43:04 GMT).
Staging status: Nothing in staging
- CN etki alanı için ACME istemcisi tam durum günlüğünü kontrol edin:
# diagnose sys acme status-full test.ftntlab.de { “name”: “test.ftntlab.de”, “finished”: true, “notified”: false, “last-run”: “Thu, 11 Mar 2021 18:43:02 GMT”, “valid-from”: “Thu, 11 Mar 2021 17:43:04 GMT”, “errors”: 0, “last”: { “status”: 0, “detail”: “The certificate for the managed domain has been renewed successfully and can be used (valid since Thu, 11 Mar 2021 17:43:04 GMT). A graceful server restart now is recommended.”, “valid-from”: “Thu, 11 Mar 2021 17:43:04 GMT” }, “log”: { “entries”: [ { “when”: “Thu, 11 Mar 2021 18:43:05 GMT”, “type”: “message-renewed” }, … { “when”: “Thu, 11 Mar 2021 18:43:02 GMT”, “type”: “starting” } ] }}
Varsayılan FortiGate yönetim sunucusu sertifikasını CLI’deki yeni genel Let’s Encrypt sunucu sertifikasıyla değiştirmek için:
config system global
set admin-server-cert “acme-test”
end
Bir yönetici hesabı kullanarak FortiGate’e giriş yaptığınızda, güvenilmeyen sertifikalarla ilgili hiçbir uyarı olmamalı ve sertifika yolu geçerli olmalıdır.