ozztech_logo_white

FortiWeb CA Sertifikası Yükleme

FortiWeb CA Sertifikası Yükleme

FortiWeb’in istemci sertifikalarını doğrulaması için, güvenilen CA (Sertifika Yetkilileri) sertifikalarını FortiWeb cihazına yüklemelisiniz .

CA sertifika dosyalarını yerel olarak içe aktarma

Sertifika yetkilileri (CA/Certificate authorities) başkalarının sertifikalarını doğrular ve imzalar. FortiWeb, bir istemcinin veya cihazın sertifikasının orijinal olup olmadığını kontrol etmesi gerektiğinde, istemci ve cihazın sertifikasını aynı özel anahtar kullanılarak yapılıp yapılmadığını belirler. Belirlemek için CA’nın imzasını CA’nın yüklediğiniz sertifikasının kopyasıyla karşılaştırarak inceler. Eğer aynı anahtar kullanılmış olsaydı, CA’nın imzası orijinaldir ve bu nedenle istemci veya cihazın sertifikası yasaldır.

İmzalayan CA bilinmiyorsa, bu CA’nın kendi sertifikası da aynı şekilde bir veya daha fazla başka CA tarafından imzalanmalıdır. İmzalama işlemi ta ki hem FortiWeb cihazı hem de istemci veya cihaz ortak olarak sahip oldukları karşılıklı güvenilen (paylaşılan “root”) bir CA’ya yol açan bir imzalama zinciri gösterene kadar devam eder. Bilinen bir CA’nın doğrudan imzası gibi, bu da sertifikanın güvenilir olabileceğini kanıtlar. 

PKI kimlik doğrulaması veya Sunucu Adı Gösterimi (SNI) konfigürasyonu için bir sertifika doğrulama kuralında CA sertifikalarını kullanmak için, dahil etmek istediğiniz CA sertifikalarına bir sertifika yetkilileri (CA) grubu oluşturmalısınız.

Bir CA grubuna eklenecek CA sertifikalarını yükleyebilirsiniz ayrıca buna ek olarak, Avrupa Birliği (AB) Güven Hizmet Listelerini (TSL) de yükleyebilirsiniz. TSL, nitelikli güven hizmeti verenlerin ve hizmetlerinin listesidir. Avrupa Birliği devletleri, her güvenilir hizmet veren ve hizmet için sertifika ve CA listelerini içeren nitelikli güven hizmeti verenlerin ve hizmetleri listelerini yayınlamakla yükümlüdür. Bir TSL’yi iki şekilde yükleyebilirsiniz:

  • TSL’nin bir XML dosyasını yükleyerek
  • TSL’nin dağıtım URL’sini girerek

FortiWeb, TSL yüklediğinizde nitelikli hizmet sağlayıcıların trusted hizmetleri doğrulamak için kullandığı X.509 sertifikalarını doğrular. Ayrıca her bir TSL’yi bir CA grubuna eklemelisiniz. 

En az bir CA sertifikası yükleyene kadar FortiWeb başka bir istemci veya cihazın hem sertifikasını doğrulayamaz hem de güvenli bağlantı girişimleri başarısız olur.

not: FortiWeb , web sitelerinizin istemcileri web sitelerine bağlanmak için HTTPS kullanmasa da sizden sertifikalar ve CRL’ler sunmanızı isteyebilir. Örneğin, SMTP aracılığıyla uyarı e-postası gönderirken veya LDAP aracılığıyla bir kimlik doğrulama sunucusunu sorgular. FortiWeb , sunucu sertifikasının CA imzasını FortiWeb cihazı tarafından bilinen ve güvenilen CA’ların sertifikalarıyla karşılaştırarak sunucunun sertifikasını doğrular.

Bir CA’nın sertifikasını yüklemek için

  1. CA’nızın sertifika dosyasının bir kopyasını alın.
    • Ticari bir CA kullanıyorsanız, web tarayıcınız CA güven deposunda zaten bir kopya içermelidir. Dosyanın bir kopyasını masaüstünüze veya başka bir klasöre aktarın.
    • Kendi özel CA’nızı kullanıyorsanız, yedek olması için CA’nızın sunucusundan bir kopya indirin. Örneğin, Windows Server 2003’te şunu yazarsınız: https://<ca-server_ipv4>/certsrv/
    • <ca-server_ipv4> CA sunucunuzun IP adresidir. Admin olarak oturum açın çünkü diğer hesaplarda yeterli ayrıcalık olmayabilir. Sunucunuzun CA’sı için Microsoft Sertifika Hizmetleri ana sayfası çıkmalıdır. Buradan bir CA sertifikası, sertifika zinciri veya CRL indirebilirsiniz.
  2. Server Objects > Certificates > CA’ya gidin ve CA sekmesini seçin.
    • Seçilen sertifikanın konusunu, sertifikanın geçerli olduğu tarih aralığını, sürüm numarasını, seri numarasını ve uzantıları görüntülemek için View Certificate Detail kısmına tıklayarak bilgi alabilirsiniz.
    • Web kullanıcı arayüzünün bu bölümüne erişmek için yöneticinizin hesap erişim profilinin Admin Users kategorisindeki öğeler için Read ve Write izni bulunmalıdır. 
  3. Bir sertifika yüklemek için Import’a tıklayın.
  4. Bir sertifika seçmek için şunlardan birini yapın:
    • SCEP’i etkinleştirin ve sağ taraftaki alana, geçerli Simple Certificate Enrollment Protocol (Basit Sertifika Kayıt Protokolü) sunucusunun URL’sini yazın. SCEP, yönlendiricilerin ve diğer aracı ağ cihazlarının sertifika almasına izin verir. Belirli bir CA belirtmek için URL’nin altındaki alana bir tanımlayıcı yazın.
    • Local PC’yi etkinleştirin. Ardından bir sertifika dosyası bulmak için inceleyin.
    • OK’e tıklayın .
    • Müşterilerin kişisel sertifikalarını doğrularken CA sertifikasını kullanmak için, sertifika doğrulama kuralında seçilen bir CA sertifika grubunu seçin. 
    • Konfigürasyonunuzu test etmek için uygulamanızın bir LDAPS sunucusuna güvenli bir bağlantı başlatmasını sağlayın. 

Sorgu başarısız olursa, CA’nızın LDAP sunucusunun sertifikasını imzalayanın aynı olduğunu ve sertifika uzantılarının, sertifikanın başka sertifikaları imzalamak için kullanılabileceğini gösterdiğini doğrulayın. Hem cihazın hem de LDAP sunucusunun aynı şifre takımlarını ve SSL/TLS protokollerini desteklediğini doğrulayın. Ayrıca yönlendiricilerinizin ve güvenlik duvarlarınızın bağlantıya izin verecek şekilde konfigüre edildiğini doğrulayın.

Avrupa Birliği Güvenilir Hizmet Listesi yüklemek için

  1. Server Objects > Certificates > CA‘ya gidin .
    Web kullanıcı arayüzünün bu bölümüne erişmek için yöneticinizin hesap erişim profilinin Admin Users kategorisindeki öğeler için Read ve Write izni bulunmalıdır. 
  2. TSL CA  sekmesine tıklayın .
  3. İçe Aktarmak için Import’a tıklayın .
  4. Aşağıdaki ayarları konfigüre edin:
    • Name: Konfigürasyonun diğer bölümleri tarafından referans alınabilecek bir maksimum 63 karakterlik bir isim yazın. Bir CA grubundaki TSL’yi seçmek için bu adı kullanacaksınız.(Maksimum uzunluk 63 karakterdir)
    • URL: Dağıtım URL’sini kullanarak bir TSL yüklemeyi etkinleştirin. Etkinleştirdikten sonra, metin kutusuna TSL’nin dağıtım URL’sini girin. URL, http:// veya https:// ile başlamalı ve .xml ile bitmelidir.
    • Local PC: TSL’yi içeren bir XML dosyasını karşıya yüklemeyi etkinleştirin. Etkinleştirdikten sonra, Choose File’e tıklayın ve bilgisayarınızdaki ilgili dosyayı seçin. Yüklenecek bir dosya seçtiğinizde, FortiWeb, TSL’yi içe aktarmadan önce dosyanın geçerlilik durumunu kontrol eder.
  5. OK’e tıklayın .
    Yükleme başarılı olursa FortiWeb, CA Certificate successfully uploaded mesajıyla döner.
  6. Bir CA grubuna eklenmesi için TSL’nin kullanılabilir olduğunu onaylayın. Bu işlem için, TSL CA sekmesine geri dönmek için Return’e tıklayın. TSL’nin Status sütunu, TSL’yi bir CA grubunda kullanabilme durumunuzu gösterir:
    • Available— FortiWeb , TSL’yi onaylamıştır ve bir CA grubunda kullanabilirsiniz.
    • Unavailable— FortiWeb , TSL’yi doğrulayamamıştır bu yüzden bir CA grubunda seçemezsiniz.

Güvenilir CA sertifikalarını gruplama

CA’ların, PKI kimlik doğrulaması için bir sertifika doğrulama kuralında veya bir Sunucu Adı Göstergesi (SNI) konfigürasyonunda seçilebilmesi için bir grubun içinde olmalıdır. 

CA sertifika grubunun konfigürasyonu:

  1. Bir CA grubu oluşturabilmeniz için, gruba eklemek istediğiniz sertifika yetkilisi (CA) sertifikalarından en az bir tanesini yüklemelisiniz.
  2. Server Objects > Certificates > CA’ya gidin ve CA Group sekmesini seçin.
    Web kullanıcı arayüzünün bu bölümüne erişmek için yöneticinizin hesap erişim profilinin Admin Users kategorisindeki öğeler için Read ve Write izni bulunmalıdır. 
  3. Create New’a tıklayın .
  4. Name kısmına, konfigürasyonun diğer bölümleri tarafından referans alınabilecek bir maksimum 63 karakterlik bir isim yazın. (Maksimum uzunluk 63 karakterdir)
  5. Ok’e tıklayın .
  6. Create New’a tıklayın 
  7. ID kısmına FortiWeb bir sonraki kullanılabilir index numarasını otomatik olarak atar.
  8. CA kısmına, daha önce yüklediğiniz ve gruba eklemek istediğiniz bir sertifika yetkilisinin sertifikasının ismini seçin.
  9. Yalnızca belirtilen CA ile ilgili sertifikaları listeleyebilmek için Publish CA Distinguished Name bölümünü etkinleştirin. Bu seçeneğin kullanılması, bir istemci tarayıcısına çok sayıda sertifika yüklediğinde veya uygulamalar istemci sertifikalarını listelemediğinde faydalı olur. Bu seçeneği etkinleştirirseniz, seçeneği bir sertifika doğrulama kuralında da etkinleştirmelisiniz. 
  10. Ok’e tıklayın .
  11. Gruba eklemek istediğiniz her bir CA için yukarıda verilen adımları tekrarlayın.
  12. Bir CA grubunu uygulamak için bir sertifika doğrulama kuralında seçmelisiniz.

İlginizi Çekebilecek Makaleler​

Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »
.OrianaLOG Nedir?

.OrianaLOG Nedir? ve Ne işe Yarar?  .OrianaLOG bir sistem veya uygulamanın çalışması sırasında oluşan log (kayıt) dosyalarının toplanması, depolanması, analiz edilmesi ve incelenmesine olanak sağlayan bir

Devamı »