본문 바로가기
FortiGate/Security Profile

SSL Deep(Full) Inspection에서 Untrusted SSL certificates 설정

by 에티버스이비티 2022. 3. 2.

FortiGate의 SSL Deep(Full) Inspection에서 Untrusted SSL certificates(신뢰받지 않은 인증서) 설정에 대한 설명이다.

아래와 같이 "Multiple Clients Connecting to Multiple Servers" 가 선택되고, Full SSL insepction인 경우 신뢰받지 못한 인증서에 대한 제어(Allow/Block/Ignore) 설정이 가능하다. 신뢰받지 않은 인증서(Untrusted SSL certificates)의 경우 접속시 브라우저에 인증서 경고창이 표시된다.

 

◼ Block

신뢰받지 않은 인증서(Untrusted SSL certificates)의 경우 FortiGate에서 차단 된다.

 

◼ Allow

신뢰받지 않은 인증서(Untrusted SSL certificates)의 경우, FortiGate가 내장 Fortinet_CA_Untrusted 인증서로 서명된 임시 인증서를 생성 클라이언트에 보낸다.

브라우저는 여전히 신뢰받지 못한 인증서로  경고창이 표시되고, 인증서는 발급자가 "Fortinet_CA_Untrusted" 임을 알 수 있다.

클라이언트 브라우저 경고창
"Fortinet_CA_Untrusted" CA가 발급

◼ Ignore

서버의 인증서 상태(trusted 또는 untrusted)에 상관없이 모든 인증서를 Fortinet_CA_SSL 인증서로 서명된 인증서를 생성하여 클라이언트로 보낸다. Full(Deep) Inspection을 사용하기 때문에, 사용자 브라우저에 "Fortinet_CA_SSL" 인증서를 "신뢰할수 있는 루트 인증기관" 추가된 상태일 것이다.

따라서 신뢰받지 않은 인증서(Untrusted SSL certificates)를 가진 서버의 경우에도, FortiGate가 신뢰받은 CA인증서로 다시 만들어 보내기에 인증서 경고창이 표시 되지 않고 바로 접속 가능하다.

브라우저에서 인증서가 유효함으로 표시됨
Fortinet_CA_SSL로 인증서 발급

 

댓글