Sertifika Yönetimi v4.00-build0637-2013/02 0
FortiGate (Admin Web Erişimi) Sertifikalı Erişim Datasheet FortiGate Cihazında Sertifika İsteği Oluşturmak FortiGate cihazınızın web arayüzünden System > Certificates > Local Certificates menüsüne geliniz. Generate butonuna basınız. Resimde görüldüğü gibi alanları doldurunuz. Sertifikayı IP yada Hostname olarak oluşturabilirsiniz. Biz bu örneğimizde FortiGate lokal IP adresimiz için oluşturuyoruz. FortiGate () v400-build0637-2013/02 1
İşlem sonrasında FortiGate_Cert isimli sertifikanın durumu PENDING olarak görünmelidir. FortiGate_Cert sertifikasını seçerek Download butonuna basıp, beklemede olan sertifikayı FortiGate_Cert.csr ismiyle bilgisayarınıza kaydediniz. FortiGate () v400-build0637-2013/02 2
Kaydettiğiniz FortiGate_Cert.csr dosyasını bir text editörde açıp tüm anahtar bilgisini kopyalayınız. FortiGate () v400-build0637-2013/02 3
Sertifika Sunucusunda Sertifika İsteğini İmzalama Microsoft CA Server sunucunuzda http://localhost/certsrv/ adresine gidiniz. Gelen sayfada Request a Certificate linkini tıklayınız. Advanced certificate request linkini tıklayınız. FortiGate () v400-build0637-2013/02 4
Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file linkini tıklayınız. FortiGate_Cert.csr dosyasından kopyaladığınız anahtar bilgisini ekrandaki gibi alana yapıştırınız. Certificate Template olarak Web Server seçiniz. FortiGate () v400-build0637-2013/02 5
Base 64 encoded seçeneğini seçerek, Download certificate linkine tıklayınız. FortiGate_Cert.cer ismiyle sertifika dosyasını bilgisayarınıza kaydediniz. Sonuçta FortiGate üzerinde oluşturduğumuz sertifika isteğini, Microsoft CA Sertifika sunucumuzda imzalamış olduk. Yine Microsoft CA sunucunuzda, web sayfasındaki Home butonuna basarak ana sayfaya geliniz. Download a CA certificate, certificate chain or CRL linkine basarak devam ediniz. FortiGate () v400-build0637-2013/02 6
Gelen sayfada Base 64 seçeneğini seçiniz ve Download CA certificate linkine tıklayınız. CAServer_Cert.cer ismiyle sertifika dosyasını bilgisayarınıza kaydediniz. Sonuçta sertifika imzalayan ana sunucunun kök sertifikasını da kaydetmiş olduk. FortiGate Cihazına Alınan Sertifikaları Yüklemek System > Certificates > CA Certificates menüsünden Import butonuna basınız. FortiGate () v400-build0637-2013/02 7
CAServer_Cert.cer sunucu kök sertifikasını seçip OK butonuna basınız. İşlem sonucunda listede CA_Cert_1 isimli kök sertifikasını göreceksiniz. FortiGate () v400-build0637-2013/02 8
System > Certificates > Local Certificates menüsünden Import butonuna basınız. FortiGate_Cert.cer sertifikasını seçerek OK butonuna basınız. Sonuçta FortiGate için imzaladığımız sertifikayı FortiGate cihazına ekliyoruz. FortiGate () v400-build0637-2013/02 9
İşlem sonucunda listede FortiGate_Cert isimli sertifikayı görmelisiniz. PENDING konumundaki sertifikayı yüklemiş olduk. FortiGate cihazınızın komut satırından (CLI) resimde altı kırmızı çizili komutları çalıştırarak, web yönetim erişiminde bizim sertifikamızı kullanmasını ayarlamalısınız. FortiGate () v400-build0637-2013/02 10
Internet Explorer için Sertifika Ayarları Internet Options menüsünden Content bölümüne girerek Certificates butonuna basınız. Trusted Root Certification Authorities bölümünden Import butonuna basınız. CAServer_Cert.cer dosyasını seçiniz. Next butonuna tıklayarak aşağıdaki adımları tamamlayınız. FortiGate () v400-build0637-2013/02 11
Microsoft CA sunucumuzun kök sertifikasını güvenilir SSL sunucu listesine ekledik. FortiGate () v400-build0637-2013/02 12
Aynı işlemi bu sefer FortiGate_Cert.cer isimli FortiGate sertifikası için yapınız. FortiGate () v400-build0637-2013/02 13
Sertifika hatası almadan cihaza erişilebiliyoruz. Sertifika bilgilerini kontrol edebilirsiniz. FortiGate () v400-build0637-2013/02 14
Firefox için Sertifika Ayarları Ekranda görüldüğü gibi Options menüsüne giriniz. Advanced bölümünden Encryption kısmına geliniz, View Certificates butonuna tıklayınız, Authorities bölümünden Import butonuna tıklayarak CAServer_Cert.cer kök sertifikanızı seçiniz. FortiGate () v400-build0637-2013/02 15
Dialog penceresindeki kutuları işaretleyip OK butonuna basınız. Listede gördüğünüz gibi sunucu kök sertifikası başarıyla eklendi. FortiGate () v400-build0637-2013/02 16
FortiGate sertifikasını yüklemek için Servers bölümüne giriniz. Import butonuna basarak FortiGate_Cert.cer isimli sertifika dosyasını seçiniz. Ekleme sonucunda listede sertifikayı göreceksiniz. Sertifikayı seçip Edit Trust butonuna basınız. FortiGate () v400-build0637-2013/02 17
Trust the authenticity of this certificate seçeneğini seçip OK butonuna basınız. İşlemler bittikten sonra sertifika kontrolünü yapabilirsiniz. FortiGate () v400-build0637-2013/02 18
Yapılan bu işlemler Microsoft CA sertifika sunucusu ile yapılmıştır. Aynı sertifika isteğini oluşturarak global sertifika imzalayan kuruluşlardan (Thwate, GlobalSign, COMODO vb.) sertifika isteğinizi imzalatıp, kök sunucu sertifikası ve imzalanmış sertifikayı aynı ayarlarla FortiGate cihazınızda kullanabilirsiniz. Active Directory yapısı kullanılan yerlere kök ve sunucu sertifikasını Group Policy kullanarak kullanıcı browserlarına otomatik yüklemek mümkündür. Ek Kaynaklar : http://docs.fortinet.com/fgt/handbook/40mr3/fortigate-compliance-40-mr3.pdf http://docs.fortinet.com/fgt/handbook/40mr3/fortigate-cli-40-mr3.pdf http://docs.fortinet.com/fgt/handbook/40mr3/fortigate-system-admin-40-mr3.pdf RZK Mühendislik ve Bilgisayar Sistemleri 1326. Sokak (Eski 71. Sk.) No:5 / 2-4 06460 Öveçler Ankara / Türkiye Tel:+90 (312) 472 15 30 Fax:+90 (312) 472 15 40 FortiGate () v400-build0637-2013/02 19