Bu makale, ‘Derin paket incelemesi’ (DPI) ve NTLM kimlik doğrulama portalı için kullanılmak üzere FortiGate Microsoft Sertifika Yetkilisi ile SSL sertifikalarının nasıl düzenleneceğini açıklamaktadır.
FORTIGATE FIREWALL ÜZERİNDE MICROSOFT SERTİFİKA NASIL SİSTEME EKLENİR
- FortiGate Microsoft sertifika eklemek için öncelikle sertifika oluşturmak için SYSTEM > CERTIFICATES tabına gidilir ve yeni sertifika oluşturma işlemi seçilir.
- İki adet CSR oluşturun. İki adet oluşturmamızın sebebi biri ‘Alt Sertifika Yetkilisi’ sertifikası vermek için kullanılacak ve ikincisi bir ‘Web Sunucusu’ sertifikası vermek için kullanılacak olmasıdır.
Aşağıda sizlere bir adet örnek bırakıyorum
CSR için ‘SubCA certificate’
Web sunucusu sertifikasını kullanmak için CSR ‘ı oluştururken Fortigate ip adresini belirttiğinizden emin olun.
- CSR’ler oluşturulduktan sonra, ‘Sertifikalar’ tabında görünecektir. Önceki adımda oluşturulan CSR’lardan birini seçin ve ‘İndir’i seçin. Bunu ikinci CSR için de tekrarlayın.
- Domain ortamında bulunan ve üzerinde sertifika yetkilisi rolü olan sunucuya bağlanın. Bağlantı şekli aşağıdaki şekildedir.
http://microsoft-sertifika-sunucusu-ip-adresi/certsrv veya http://microsoft-sertifika-sunucusu-ip-adresi/ - Request a Certificate butonuna tıklanır ve Advanced certificate request alanına geçilir.
- Fortigate üzerinde oluşturulan ve bilgisayarınıza indirilen sertifika notepad ile açılır. Benim oluşturup indirdiğim sertifikanın adı SubCAwithIPandSAN ‘dı. Notepad ile sertifika açıldıktan sonra içeriğin tamamı kopyalanır.
Örnek:
-----BEGIN CERTIFICATE REQUEST-----
MIICdzCCAV8CAQAwFDESMBAGA1UEAwwJZm9ydGkubGFiMIIBIjANBgkqhkiG9w0B
….
pQknnzlX6BRwa1JUpRK956d9KwQ6soUPDgsbCMlGDb024QckXpvExLH96ALGR06k
WKgZksoKXxRR+r5pfx430XOaJKsFjhrQWCH1f5+uw3HhmtblV/j7a3A0QwvXpo/I
x0jY/02kZcabsH0=
-----END CERTIFICATE REQUEST-----
- ‘Subordinate Certification Authority’ altında Certificate Template seçilir ve submit edilir.
- Base64 encoded seçilir ve sertifika indirilir.
- Aynı işlemler oluşturduğumuz ikinci CSR içinde yapılır
- Artık Microsoft Sertifika sunucusu tarafından doğrulanmış iki adet sertifikamız bulunmaktadır. Bu sertifikları fortigate ‘e System > Certificates alanında import local certificate diyerek içeriye aktarırız.
- Artık Fortigate tarafından 2 adet onaylanmış sertifikamız olduğunu görürüz
- Bu sertifikaları Fortigate cihazımız üzerinde kullanalım.
Kullanıcı bağlantı noktasında kullanmak için aşağıdaki komutlar kullanılır.
# config user setting
set auth-cert "WebWithIPandSAN "
set auth-ca-cert "SubCAwithIPandSAN"
End
Deep Inspection üzerinde kullanmak için ise aşağıdaki komut kullanılır.
# config firewall ssl-ssh-profile
edit <SOME DEEP INSPECTION PROFILE>
set caname "SubCAwithIPandSAN"
end
Fortinet FortiGate çözümleri ve sorularınız için bizimle iletişime geçin.