设置FortiGateSSL 证书认证
2012-12-24 15:19:19   来源:   评论:0 点击:

说明: 本文档针对所有FortiGate 的SSL证书登录进行说明,使用SSL证书登录通常需要用户有信任CA颁发的证书安装在SSL登录,并在防火墙上安装CA的公钥证书。本文档使用OpenSSL自签名证书来进行认证登录。环境介绍

说明:
本文档针对所有FortiGate 的SSL证书登录进行说明,使用SSL证书登录通常需要用户有信任CA颁发的证书安装在SSL登录,并在防火墙上安装CA的公钥证书。本文档使用OpenSSL自签名证书来进行认证登录。
环境介绍
本文使用FortiGate82C 及OpenSSL生成证书做演示。本文支持的系统版本为FortiOS v4.0及更高。
步骤一:OpenSSL证书生成
OpenSSL具体安装及使用此文中不再累赘,请参考网上相关文档。

  1. 首先生成X509格式的CA自签名证书
    $openssl req -new -x509 -keyout myca.key -out myca.crt
  2. 生成SSL客户端的私钥(key文件)及csr文件
    $openssl genrsa -des3 -out SSL.key 1024
    $openssl req -new -key SSL.key -out SSL.csr
  3. 用生成的CA的证书为刚才生成的SSL.csr文件签名
    $openssl ca -in SSL.csr -out SSL.crt -cert myca.crt -keyfile myca.key
  4. 生成p12格式证书
    $openssl pkcs12 -export -inkey SSL.key -in SSL.crt -out SSL.pfx

完成以上操作后在当前目录下会有六个文件,分别是myca.crt,myca.key,SSL.crt,SSL.csr,SSL.key,SSL.pfx。其中CA的公钥myca.crt 和用户的私钥 SSL.pfx是我们需要的文件。
步骤二:配置FortiGate 证书及SSL PKI用户
首先在防火墙系统管理--证书—CA证书 导入刚才用于签名的CA公钥证书MyCA.crt
1
然后添加PKI用户-新建 输入用户名称,选择刚才导入对应的CA证书,标题可不填,如要填需要同CA证书中一致
2
然后添加SSLVPN用户组,并将该PKI用户添加进SSLVPN用户组中
3
在策略中启用SSL认证
4

步骤三:客户端安装证书
在客户端PC中安装经CA签发的私钥证书SSL.pfx,双击该证书。
5
输入建立私钥时输入的密码
6
7
完成后即可使用证书登录SSL VPN
输入https://vpnserver:10443,选择由对应CA颁发的证书,确定。
8

同样,如果需要使用FortiSSL 连接,选择相应证书
9

如果使用不正确的证书则会返回登录页面

相关热词搜索:

上一篇:设置FortiGate RADIUS用户认证
下一篇:如何配置FSSO认证4.3

分享到: 收藏