ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Fortinet

Fortigate VPN Bağlantısına SSL Sertifika Eklemek

Bu makalemizde Fortigate utm üzerinde VPN bağlantısı sırasında SSL sertifika kullanımını ele alıyor olacağız. Fortigate ülkemizde ve dünyada bir çok kurum tarafından tercih edilen UTM, Firewall, Log Depolama, Access Point gibi bir çok cihazı üreten önemli bir marka.

Yapımızda kullanılan cihaz Fortigate 100D modeli ve OS versiyonu 5. Model farkı olmaksızın versiyon 5 yazılımını kullanan tüm yapılarda aşağıda izleyeceğimiz adımlar aynı olmaktadır. Cihaz üzerinde yapılandırılan VPN işleminde cihazın kendi sertifikası kullanılmaktadır. Bu işi bir adım daha ileri götürüp global sertifika sağlayıcılardan sertifika almak isterseniz aşağıdaki adımlar size kaynak olacaktır.

İşletim sistemimiz üzerinden Forti SSL VPN yazılımından vpn bağlantısı yapmak istediğimizde aşağıdaki gibi sertifika uyarısı almaktayız. Bunun nedeni cihazın üzerinde bir sertifika bulunması fakat bu sertifikanın Güvenilir Global Sertifika üreticileri tarafından sağlanmayan bir sertifika olmasıdır.

image002

Cihazımız üzerine Global bir sertifika ekleyerek bu sorunu ortadan kaldırabiliriz. Bu nedenle yapmamız gerekenler aşağıdaki gibidir.

System menüsünden Certificates kısmına girelim. Açılan ekranda sistemin farklı işlemlerde kullandığı local sertifikalar yer almaktadır. Biz global bir sertifika almak için gerekli kodu cihaz üzerinde oluşturabilmekteyiz. Sonra üretilen kod ile global sertifika sağlayıcılardan sertifika talebinde bulunabiliriz. Bu işlem için GENERATE butonuna tıklayalım.

image003

Sertifika oluşturma ekranında ip, mail adresi ve Domain Name bilgisine göre sertifika oluşturulabilmektedir. Biz Domain Name mimarisine göre sertifika oluşturacağız. Yapımızda kullanılan ip bilgisi ileride değişebilir bu nedenle bizim için en mantıklı seçim Domain Name seçeneğidir.

Bu seçimi yaptıktan sonra sertifikamıza bir isim verelim.

image005

Organizasyon bilgilerimizi aşağıdaki ekrana girelim. Biz VPN bağlantımızı SSLvpn.cozumpark.com adresimizden gerçekleştireceğimiz için Domain Name kısmına SSLvpn.cozumpark.com şeklinde domain bilgisini giriyorum. Biz bağlantımızı bu adres üzerinden yaparsak sertifika uyarısı almayacağız. Ancak ip üzerinden yaparsak yine sistemin sertifikasını kullanmak durumunda kalacağız. Yani bu sertifika sadece SSLvpn.cozumpark.com adresine hizmet edecektir. Bilgileri tamamladıktan sonra OK butonuna tıklayalım.

image007

Şu anda aşağıda görüldüğü gibi sertifikalar ekranına sertifikamız PENDING olarak eklendi. Bu sertifikayı Global Sertifika sağlayıcılarından temin etmemiz gerekmektedir. Bu ekranda oluşturulan sertifikada alacağımız sertifikanın oluşturulması için gerekli olan CSR kodu bulunmaktadır. Download butonuna tıklayarak CSR kodumuzu bilgisayarımıza kayıt edelim.

image009

Şu anda sertifikamızın CSR kodunu bilgisayarımıza kayıt ettik.

image011

CSR kod sertifika üretecek olan sistemlerin kullanacağı kodları içermektedir. Bu kodlara göre sertifika oluşturmakla görevli yazılımlar bize ihtiyacımız olan sertifikayı üretirler. İçeriğine baktığımızda aşağıda olduğu gibi kriptolanmış bir takım metinler yer almaktadır.

image013

Ben bu kodu Global Sertifika satan bir firmaya ilettim ve 3 yıllık bana gerekli olan bir sertifika temin ettiler.  Sertifika nedir ve hangi sertifikalar kullanmam gerekir gibi noktalarda mutlaka aşağıdaki makaleleri okumanızı öneririm.

1-      http://www.cozumpark.com/blogs/gvenlik/archive/2014/07/27/SSL-secure-sockets-layer-nasil-calisir.aspx

2-      http://www.cozumpark.com/blogs/gvenlik/archive/2014/10/06/SSL-sertifikasi-ve-SSL-cesitleri.aspx


Gerekli sertifikayı yukarıdaki CSR kodunu sertifika üreticisi firmaya verip elde ettikten sonra bu sertifikayı sisteme ekleme aşamasına geldi. Bu işlem için sertifika ekranımızda yer alan IMPORT menüsüne tıklayarak Local Certificate linkine tıklayalım.

image015

Açılan ekranımızda sertifika yolu istenmektedir. Bu ekranımızda satın aldığımız sertifikayı gösterelim. Bu sertifika bize sertifika üreticisi tarafından mail olarak yollanmakta olup çok ufak bir KB’lar seviyesinde bir dosyadır. Tabi şunu da eklemek gerekir online olarak çalışan üye olduktan sonra gerekli csr kodunu verip üye ücretini ödeyerek online olarak bu sertifikayı alabileceğimiz ortamlarda bulunmaktadır.  

image017

Sertifikamızı seçelim.

image019

Aşağıdaki ekranımızda olduğu gibi PENDING olan sertifikamız OK duruma geldi.

image021

Biz buraya kadar olan kısımda sertifika kodunu üretim download ettik. Download ettiğimiz koda göre sertifika satın aldık. Aldığımız bu Global Sertifikayı cihazımıza yükledik. Bundan sonraki aşamada ise cihaz üzerinde VPN yapılması durumunda bu sertifikanın kullandırılmasıdır.

Bu işlem için VPN menüsüne gelerek burada yer alan Settings sekmesine girelim. Bu ekranda Server Certificate kısmından sertifikamızı seçelim.

image023

Listen on Interface : Burada svpn yapılırken bu vpn cihazın hangi portuna gelecekse o port seçilmedir. Ben internet dış bacağım olan Wan1 potunu seçiyorum.

Hosts : Bu ekranda VPN yapabilecek kullanıcılarımı içeren grubumu seçiyorum.

IP Ranges: Bu ekranda dağıtılacak olan ip bloğunu seçiyoruz.

image025

Şu anda ayarlarımız tamamlandı. Şimdi bir VPN bağlantısı yapalım. Bu bağlantımızda sertifika uyarısı almadan bağlantımızı gerçekleştirdik.

image027

Umarım yararlı olur. Bir başka makalede görüşmek dileğiyle.

 

 

 

Tarih : 19 Temmuz 2015 Pazar 15:58 Yayınlayan: Rıza ŞAHAN

Yorumlar

 

tunc_darbas

Hoca. Elinize saglik. Cok guzel bir makale .

Bir de forti firewalllarda ssl clientin a.d. Username password + ssl sertifikali kimlik dogrulama yapabilecek bir altyapi var midir? Buny kurum disi pclere yada domaine dahil olmayan pclere forti client kurulup kullanimini engellemek icin istiyoruz. Varsa forumda anlatimini bekliyoruz.

Selamlar...

Temmuz 19, 2015 16:56
 

Erdem Avni SELÇUK

Rıza hocam emeğine sağlık

Temmuz 19, 2015 21:06
 

Vasvi UYSAL

Eline sağlık güzel anlatım.

Temmuz 20, 2015 08:58
 

Murat Koseoglu

Elinize sağlık.

Temmuz 20, 2015 10:58
 

Hakan UZUNER

Eline sağlık Rıza

Temmuz 20, 2015 20:39
 

Ugur DEMIR

Eline sağlık Rıza

Temmuz 21, 2015 10:09
 

Recep YÜKSEL

Eline sağlık Rıza hocam.

Temmuz 23, 2015 09:29
 

Ersin CAN

Eline sağlık Hocam

Temmuz 24, 2015 15:02
 

mehmet okuducu

hocam emeğinize sağlık

Aralık 28, 2015 11:22
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Yazar: Rıza ŞAHAN

1984 yılında Yozgat'ta doğdum.4 yaşından bu yana İstanbul'da yaşıyorum.Bilgisayar ile ilk tanışmam kırsal yerde oturduğum için lise yıllarımda oldu.Ümraniye Endüstri Meslek Lisesi bilgisayar bölümünden sonra Kocaeli Üniversitesi Bilgisayar programcılığını sonrasında Anadolu Ünv işletme fakültesini bitirdim.3 yıl teknik serviste,1yıl outsource Citibankta çalıştım.11 yıldır ise şu an çalışmakta olduğum iş yerinde bilgi işlem departmanında çalışmaktayım.Koyu bir Beşiktaş taraftarıyım.

Bu Kategori

Hızlı aktarma

Etiketler