FortiOS v7.0부터 'Protecting SSL Server' 모드에서 서버의 인증서를 여러개 사용 가능하다. 이를 통해 여러 서버를 동일한 보호 IP 주소에 배포하고 인증서의 SNI 일치를 기반으로 검사할 수 있다.
FortiGate는 클라이언트 및 서버 Hello 메시지를 수신하면 SNI 및 CN을 SSL 프로필의 인증서 목록과 비교하고 일치하는 인증서를 대체 인증서로 사용한다. 목록에 일치하는 서버 인증서가 없으면 목록의 첫 번째 서버 인증서가 대체 인증서로 사용된다.
위와 같은 구성에서 아래와 같이 SSL Profile을 'bbb.com', 'aaa.com' 서버에 대한 인증서를 2개 순서대로 설정 한 경우...
클라이언트가 'bbb.com', 'aaa.com' 으로 접속하는 경우 해당 서버에 맞는 인증서로 대체되고, 만약 'ccc.com'으로 접속하는 경우 첫번째 설정된 'bbb.com'의 인증서를 사용하게 된다.
주의)
이렇게 여러개의 서버인증서를 사용할수 있지만 최대 10개 까지만 사용가능하다.
만약 10개 이상을 설정하는 경우 아래와 같은 'Maximum number of entries has been reached', 'Too many server certificate entries. Maximum number of entries: 10' 에러 메세지를 확인 할 수 있다.
'FortiGate > Security Profile' 카테고리의 다른 글
| AntiVirus : CDR 설정하는 방법 (0) | 2022.08.17 |
|---|---|
| AntiVirus에서 CDR 설정시 "Value conflict with system settings" 에러 (0) | 2022.08.11 |
| IPS, AV, Application Control database가 업데이트 되지 않는 경우 (0) | 2022.06.02 |
| ipshelper 데몬의 역할 (0) | 2022.05.18 |
| Application control로 차단했지만, 주고 받는 byte 카운트 표시 (0) | 2022.05.16 |
댓글