证书管理

数字证书是一个经证书授权中心(CA)数字签名的、包含公钥拥有者信息以及公钥,并且在特定的时间段内有效的文件。

FortiGate证书类型

这里使用FortiAuthenticator作为证书服务器,生成证书并导入FortiGate。

远端CA证书

远程CA证书是只有CA的公钥,用于验证证书的有效性,如SSLVPN中验证终端的证书。

  1. FortiAuthenticator生成根CA证书

    选择“Certicate Managerment”-->”Certificate Authorities“-->“Local CAs”,点击“Create New”,输入CA名称及证书信息,并点击“确认”。

    image-20230213155536174

  2. 导出CA证书

    导出的文件为localCA1.crt

    image-20230213161420725

  3. 导入FortiGate

    选择“系统管理”-->“证书”,点击“Create/Import”,选择“CA证书”。

    image-20230213161946720

    选择“文件”,上传CA“localCA1.crt”。

    image-20230213162141153

  4. 查看导入的证书

    image-20230213162307866

本地CA证书

本地CA证书是具有CA的公钥和私钥,具有签发能力的CA证书,如重签发portal认证的证书。

  1. FortiAuthenticator生成中间CA证书

    选择“Certicate Managerment”-->”Certificate Authorities“-->“Local CAs”,点击“Create New”,输入CA名称及证书信息,证书类型选择“Intermediate CA“,指定签发的根CA,并点击“确认”。

    image-20230213163850075

  2. 导出CA公钥和私钥

    点击”Export Key and Cert“。

    image-20230213164359543

    输入用于保护证书的密码。

    image-20230213164425823

    下载证书,文件名是sub_localCA1..p12

    image-20230213164451890

  3. 导入FortiGate

    选择“系统管理”-->“证书”,点击“Create/Import”,选择“证书”。

    image-20230213164621374

    点击”导入证书“。

    image-20230213164743018

    选择”PKCS#12 Certificate“,输入证书的密码,点击”创建“。

    image-20230213164830183

    导入成功

    image-20230213165039219

  4. 查看导入的证书

    可以看到sub_localCA1的具有CA:TRUE,是具有签发能力的CA证书。

    sub_localCA1作为本地证书导入,位于本地证书菜单下,但和本地CA证书Fortinet_CA_SSL的作用是一样的。

    image-20230213165149165

    Fortinet_CA_SSL是具有签发能力的CA证书

    image-20230213165552280

本地证书

本地证书是具有公钥和私钥,为特定的服务颁发的证书,如FortiGate GUI,SSLVPN,IPSEC VPN证书。

  1. FortiAuthenticator生成用户证书

    选择“Certicate Managerment”-->“End Entities”-->”Users“,点击“Create New”,输入证书名称及证书信息,指定签发的根CA,点击“确认”。

    CN:当浏览器尝试连接到远程服务器(例如HTTPS服务器)时,它将首先获取该服务器的SSL证书。 然后将要连接的域名与SSL证书中的CN进行比较。 如果它们相同,它将使用SSL证书来加密连接,否则将告警。

    SAN:单个SSL证书只能使用单个Common Name,意味着SSL证书可用于单个主机名+域名。 为了解决此限制,创建了Subject Alternative Name 。 SAN用于在SSL证书中定义多名称或多通用名称。这里SAN和CN配置为一样即可。

    image-20230213171501456

  2. 导出用户证书公钥和私钥

    点击”Export Key and Cert“。

    image-20230213173242865

    输入证书保护的密码。

    image-20230213173352556

    导出证书,名称是webtest1.p12。

    image-20230213173417890

  3. 导入FortiGate

    选择“系统管理”-->“证书”,点击“Create/Import”,选择“证书”。

    image-20230213173518410

    选择”导入证书“。

    image-20230213173604593

    选择”PKCS#12 Certificate“,输入证书的密码,点击”创建“。

    image-20230213173628689

    导入成功。y

    image-20230213173701368

  4. 查看证书

    image-20230213173811481

远程证书

远程是没有私钥的证书,用于验证私钥的签名,如SAML证书。

  1. 导出证书

    以webtest1证书为例。点击”Export Certificate“ 导出证书,文件名为webtest1.cer。

    image-20230213174335995

  2. 导入FortiGate

    选择“系统管理”-->“证书”,点击“Create/Import”,选择“远程证书”。

    image-20230213174601606

    上传”webtest1.cer“。

    image-20230213174634464

  3. 查看证书

    image-20230213174734883

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2024-03-07 17:57:58

results matching ""

    No results matching ""