How to sign a CA certificate on Windows server 2012 R2 and import certificate for SSL inspection to a FortiGate.
#Fortigate 200E、Windows 2012 R2、FortiOS 5.6.11
!! Chrome 58 以後,憑證如果沒有 SAN(subjectAlternativeName)屬性,一樣會被判定不安全的連線,參考說明。
本文在說明如何在 Windows 2012 R2 CA 下,申請 SubCA ubCA 以使 Fortigate SSL inspection 運作時,不會出現憑證錯誤和不安全的連線訊息。
# 如何延長 Windows CA 所發憑證預設的有效期,請參考 這裡。
!! Chrome 58 以後,憑證如果沒有 SAN(subjectAlternativeName)屬性,一樣會被判定不安全的連線,參考說明。
本文在說明如何在 Windows 2012 R2 CA 下,申請 SubCA ubCA 以使 Fortigate SSL inspection 運作時,不會出現憑證錯誤和不安全的連線訊息。
# 如何延長 Windows CA 所發憑證預設的有效期,請參考 這裡。
- 登入到 Fortigate GUI >> System >> Certificates >> Generate
- 填入憑證所需相關資料,請務必確認【Subject Alternative Name】欄位有正確填寫。
【Subject Alternative Name】欄位格式,並以逗號分隔多項:
#超過 60 character ,必須使用 CLI ,請參考:Generate CSR via CLI when Subject Alternative Name field is long (FortiOS 5.0) - Email: email:admin@companyname.com
- IP Address: IP:1.1.1.1
- URL: URI:https://companyname.com
- DNS Name: DNS:www.companyname.com
- 下載所建立的憑證申請檔
- 到 Windows CA 網頁,申請憑證:
- 選擇【進階憑證要求】
- 填入剛剛的申請檔內容,並選擇憑證範本【附屬憑證授權單位/SubCA】
- 下載所申請到的憑證
- 在 Fortigate 中匯入憑證 (System >> Certificates >> Import >> Local Certificate)
- 可以看到剛剛的申請已有相關憑證資訊
- 另外要記得將上層 CA Server 的憑證匯入
(System >> Certificates >> Import >> CA Certificate)
- 將 Fortigate 的 SSL 憑證改使用剛剛申請到的憑證
- 可以看到,已沒有憑證安全性警告了
- 設定 SSL inspection
龍大感謝分享,但我看不到最後一張圖片,SSL Inspection的最後一張圖片
回覆刪除『SSL Inspection』 章節沒有圖了,『SSL Inspection』設定又是另一個複雜的議題。
回覆刪除