Fortinet

Fortigate VPN Bağlantısına SSL Sertifika Eklemek

Bu makalemizde Fortigate utm üzerinde VPN bağlantısı sırasında SSL sertifika kullanımını ele alıyor olacağız. Fortigate ülkemizde ve dünyada bir çok kurum tarafından tercih edilen UTM, Firewall, Log Depolama, Access Point gibi bir çok cihazı üreten önemli bir marka.

Yapımızda kullanılan cihaz Fortigate 100D modeli ve OS versiyonu 5. Model farkı olmaksızın versiyon 5 yazılımını kullanan tüm yapılarda aşağıda izleyeceğimiz adımlar aynı olmaktadır. Cihaz üzerinde yapılandırılan VPN işleminde cihazın kendi sertifikası kullanılmaktadır. Bu işi bir adım daha ileri götürüp global sertifika sağlayıcılardan sertifika almak isterseniz aşağıdaki adımlar size kaynak olacaktır.

İşletim sistemimiz üzerinden Forti SSL VPN yazılımından vpn bağlantısı yapmak istediğimizde aşağıdaki gibi sertifika uyarısı almaktayız. Bunun nedeni cihazın üzerinde bir sertifika bulunması fakat bu sertifikanın Güvenilir Global Sertifika üreticileri tarafından sağlanmayan bir sertifika olmasıdır.

image002

Cihazımız üzerine Global bir sertifika ekleyerek bu sorunu ortadan kaldırabiliriz. Bu nedenle yapmamız gerekenler aşağıdaki gibidir.

System menüsünden Certificates kısmına girelim. Açılan ekranda sistemin farklı işlemlerde kullandığı local sertifikalar yer almaktadır. Biz global bir sertifika almak için gerekli kodu cihaz üzerinde oluşturabilmekteyiz. Sonra üretilen kod ile global sertifika sağlayıcılardan sertifika talebinde bulunabiliriz. Bu işlem için GENERATE butonuna tıklayalım.

image003

Sertifika oluşturma ekranında ip, mail adresi ve Domain Name bilgisine göre sertifika oluşturulabilmektedir. Biz Domain Name mimarisine göre sertifika oluşturacağız. Yapımızda kullanılan ip bilgisi ileride değişebilir bu nedenle bizim için en mantıklı seçim Domain Name seçeneğidir.

Bu seçimi yaptıktan sonra sertifikamıza bir isim verelim.

image005

Organizasyon bilgilerimizi aşağıdaki ekrana girelim. Biz VPN bağlantımızı SSLvpn.cozumpark.com adresimizden gerçekleştireceğimiz için Domain Name kısmına SSLvpn.cozumpark.com şeklinde domain bilgisini giriyorum. Biz bağlantımızı bu adres üzerinden yaparsak sertifika uyarısı almayacağız. Ancak ip üzerinden yaparsak yine sistemin sertifikasını kullanmak durumunda kalacağız. Yani bu sertifika sadece SSLvpn.cozumpark.com adresine hizmet edecektir. Bilgileri tamamladıktan sonra OK butonuna tıklayalım.

image007

Şu anda aşağıda görüldüğü gibi sertifikalar ekranına sertifikamız PENDING olarak eklendi. Bu sertifikayı Global Sertifika sağlayıcılarından temin etmemiz gerekmektedir. Bu ekranda oluşturulan sertifikada alacağımız sertifikanın oluşturulması için gerekli olan CSR kodu bulunmaktadır. Download butonuna tıklayarak CSR kodumuzu bilgisayarımıza kayıt edelim.

image009

Şu anda sertifikamızın CSR kodunu bilgisayarımıza kayıt ettik.

image011

CSR kod sertifika üretecek olan sistemlerin kullanacağı kodları içermektedir. Bu kodlara göre sertifika oluşturmakla görevli yazılımlar bize ihtiyacımız olan sertifikayı üretirler. İçeriğine baktığımızda aşağıda olduğu gibi kriptolanmış bir takım metinler yer almaktadır.

image013

Ben bu kodu Global Sertifika satan bir firmaya ilettim ve 3 yıllık bana gerekli olan bir sertifika temin ettiler.  Sertifika nedir ve hangi sertifikalar kullanmam gerekir gibi noktalarda mutlaka aşağıdaki makaleleri okumanızı öneririm.

1-      http://www.cozumpark.com/blogs/gvenlik/archive/2014/07/27/SSL-secure-sockets-layer-nasil-calisir.aspx

2-      http://www.cozumpark.com/blogs/gvenlik/archive/2014/10/06/SSL-sertifikasi-ve-SSL-cesitleri.aspx


Gerekli sertifikayı yukarıdaki CSR kodunu sertifika üreticisi firmaya verip elde ettikten sonra bu sertifikayı sisteme ekleme aşamasına geldi. Bu işlem için sertifika ekranımızda yer alan IMPORT menüsüne tıklayarak Local Certificate linkine tıklayalım.

image015

Açılan ekranımızda sertifika yolu istenmektedir. Bu ekranımızda satın aldığımız sertifikayı gösterelim. Bu sertifika bize sertifika üreticisi tarafından mail olarak yollanmakta olup çok ufak bir KB’lar seviyesinde bir dosyadır. Tabi şunu da eklemek gerekir online olarak çalışan üye olduktan sonra gerekli csr kodunu verip üye ücretini ödeyerek online olarak bu sertifikayı alabileceğimiz ortamlarda bulunmaktadır.  

image017

Sertifikamızı seçelim.

image019

Aşağıdaki ekranımızda olduğu gibi PENDING olan sertifikamız OK duruma geldi.

image021

Biz buraya kadar olan kısımda sertifika kodunu üretim download ettik. Download ettiğimiz koda göre sertifika satın aldık. Aldığımız bu Global Sertifikayı cihazımıza yükledik. Bundan sonraki aşamada ise cihaz üzerinde VPN yapılması durumunda bu sertifikanın kullandırılmasıdır.

Bu işlem için VPN menüsüne gelerek burada yer alan Settings sekmesine girelim. Bu ekranda Server Certificate kısmından sertifikamızı seçelim.

image023

Listen on Interface : Burada svpn yapılırken bu vpn cihazın hangi portuna gelecekse o port seçilmedir. Ben internet dış bacağım olan Wan1 potunu seçiyorum.

Hosts : Bu ekranda VPN yapabilecek kullanıcılarımı içeren grubumu seçiyorum.

IP Ranges: Bu ekranda dağıtılacak olan ip bloğunu seçiyoruz.

image025

Şu anda ayarlarımız tamamlandı. Şimdi bir VPN bağlantısı yapalım. Bu bağlantımızda sertifika uyarısı almadan bağlantımızı gerçekleştirdik.

image027

Umarım yararlı olur. Bir başka makalede görüşmek dileğiyle.

 

 

 

Rıza ŞAHAN

www.rizasahan.com

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu