证书管理
数字证书是一个经证书授权中心(CA)数字签名的、包含公钥拥有者信息以及公钥,并且在特定的时间段内有效的文件。
FortiGate证书类型
这里使用FortiAuthenticator作为证书服务器,生成证书并导入FortiGate。
远端CA证书
远程CA证书是只有CA的公钥,用于验证证书的有效性,如SSLVPN中验证终端的证书。
FortiAuthenticator生成根CA证书
选择“Certicate Managerment”-->”Certificate Authorities“-->“Local CAs”,点击“Create New”,输入CA名称及证书信息,并点击“确认”。
导出CA证书
导出的文件为localCA1.crt
导入FortiGate
选择“系统管理”-->“证书”,点击“Create/Import”,选择“CA证书”。
选择“文件”,上传CA“localCA1.crt”。
查看导入的证书
本地CA证书
本地CA证书是具有CA的公钥和私钥,具有签发能力的CA证书,如重签发portal认证的证书。
FortiAuthenticator生成中间CA证书
选择“Certicate Managerment”-->”Certificate Authorities“-->“Local CAs”,点击“Create New”,输入CA名称及证书信息,证书类型选择“Intermediate CA“,指定签发的根CA,并点击“确认”。
导出CA公钥和私钥
点击”Export Key and Cert“。
输入用于保护证书的密码。
下载证书,文件名是sub_localCA1..p12
导入FortiGate
选择“系统管理”-->“证书”,点击“Create/Import”,选择“证书”。
点击”导入证书“。
选择”PKCS#12 Certificate“,输入证书的密码,点击”创建“。
导入成功
查看导入的证书
可以看到sub_localCA1的具有CA:TRUE,是具有签发能力的CA证书。
sub_localCA1作为本地证书导入,位于本地证书菜单下,但和本地CA证书Fortinet_CA_SSL的作用是一样的。
Fortinet_CA_SSL是具有签发能力的CA证书
本地证书
本地证书是具有公钥和私钥,为特定的服务颁发的证书,如FortiGate GUI,SSLVPN,IPSEC VPN证书。
FortiAuthenticator生成用户证书
选择“Certicate Managerment”-->“End Entities”-->”Users“,点击“Create New”,输入证书名称及证书信息,指定签发的根CA,点击“确认”。
CN:当浏览器尝试连接到远程服务器(例如HTTPS服务器)时,它将首先获取该服务器的SSL证书。 然后将要连接的域名与SSL证书中的CN进行比较。 如果它们相同,它将使用SSL证书来加密连接,否则将告警。
SAN:单个SSL证书只能使用单个Common Name,意味着SSL证书可用于单个主机名+域名。 为了解决此限制,创建了Subject Alternative Name 。 SAN用于在SSL证书中定义多名称或多通用名称。这里SAN和CN配置为一样即可。
导出用户证书公钥和私钥
点击”Export Key and Cert“。
输入证书保护的密码。
导出证书,名称是webtest1.p12。
导入FortiGate
选择“系统管理”-->“证书”,点击“Create/Import”,选择“证书”。
选择”导入证书“。
选择”PKCS#12 Certificate“,输入证书的密码,点击”创建“。
导入成功。y
查看证书
远程证书
远程是没有私钥的证书,用于验证私钥的签名,如SAML证书。
导出证书
以webtest1证书为例。点击”Export Certificate“ 导出证书,文件名为webtest1.cer。
导入FortiGate
选择“系统管理”-->“证书”,点击“Create/Import”,选择“远程证书”。
上传”webtest1.cer“。
查看证书
