• unk

Настройка SSL инспекции на FortiGate

У FortiGate есть собственный встроенный центр сертификации и будем использовать его.


System > Certificates > CA_SSL certificate и Download


На хосте добавляем этот сертификат в доверенные центры сертификации.


Далее в «Policy & Objects», выбираем политику, к которой будет применяться SSL инспекция, нам нужно изменить проверку SSL inspection. Policy & Options > Firewall Policy > Найдите свою политику отредактируйте ее.



Измените SSL Inspection на ‘deep-inspection’ > OK

Для теста работоспособности инспекции, можно включить политику потокового антивируса.




Итак, теперь, когда наши клиенты заходят на любой веб-сайт https:// , сертификат, который видит клиент, фактически подписан FortiGate, а НЕ публично подписанным поставщиком сертификатов.



Чтобы протестировать, вы можете зайти на сайт Eicar и попытаться загрузить один из файлов.



Далее распространите сертификат подписи CA FortiGates с помощью групповой политики.

На контроллере домена> Инструменты администрирования> Управление групповыми политиками> Создайте новую политику.



Отредактируйте новую политику и перейдите к:

Конфигурация компьютера > Политики > Параметры Windows > Параметры безопасности > Политики открытого ключа > Доверенные корневые центры сертификации.

Щелкните правой кнопкой мыши > Импорт.


Следуйте указаниям мастера, перейдите к сертификату FortiGate и выберите его > Убедитесь, что он помещен в хранилище доверенных корневых центров сертификации!



Закройте редактор политик, затем подождите пару часов или принудительно обновите политику домена.


P.S.


Настройки сертификата Firefox


Перейдите к about:prefernces#privacy > Сертификаты > Просмотр сертификатов.


Импорт:



Далее выбираем наш сертификат:



Источник - https://www.petenetlive.com/kb/article/0001729


7 просмотров0 комментариев

Недавние посты

Смотреть все