SSL Deep inspection에서 default 인증서(Fortinet_CA_SSL) 인증서를 사용하게 되면, 내부 사용자에게 인증서 경고창이 표시되게 된다. 이를 피하기위해 내부사용자 PC에 "Fortinet_CA_SSL" 인증서를 "신뢰할 수 있는 루트 인증기관"에 설치하여 이를 피할수 있다.
다른방법으로는 공인된 인증기관으로 부터 인증서를 발급 받아 사용하면, 내부사용자에 인증서 설치 단계 없이 경고창을 피할 수 있다.
이 때 해당 인증서는 새로 암호화를 수행해야 하기 때문에, 그 때마다 인증서를 새로 발급해야 한다.
따라서 CA 역할을 할 수 있는 인증서로 "cA=True, keyUsage=keyCertSign" 항목이 필요하다.
본 포스팅은 공인된 인증기관이 아닌, 사설 인증기관(FortiAuthenticator)에서 발급한 인증서로 변경하는 방법이다. 이 방법 또한 공인된 인증기관이 아닌, 사설 인증기관이기 때문에 내부사용자에 인증서 설치 단계가 필요하다.
공인된 인증기관에 인증서 발급받아 변경하는 방법도 이와 유사하다.
① FortiGate에서 CSR(Certificate Signing Request) 생성
FortiGate에서 FortiAuthenticator에 인증서 발급 요청서를 작성한다.
FortiGate의 System > Certificates 메뉴에서 "Generate CSR"을 선택하고, 인증서 이름/ 외부 IP Address / email 주소를 입력한다.
② FortiGate에서 생성된 CSR(예 : eBT_SSL.csr)을 다운로드 한다.
③ FortiAuthneticator에 다운받은 CSR로 인증서 발급 요청한다.
FortiAuthneticator는 CA 역할을 하도록 구성되어 있어야 한다.
Certificate Management > Certificate Authorities > Local CAs 메뉴에서 "Import"를 클릭하여, 다운 받은 CSR을 업로드 한다.
④ 만들어진 인증서를 export 한다. (예 : eBT_SSL.crt)
⑤ 다운받은 인증서를 FortiGate에 import 한다.
System > Certificates 메뉴에서 Import > Certificate 선택.
⑥ SSL deep Inspection Profile에서 인증서를 변경한다.
⑦ 사설 인증서이기 때문에 기본 인증서 사용하듯이 사용자 PC에 "신뢰할 수 있는 루트 인증기관"으로 설치 해야 한다.
Microsoft CA를 이용한 Deep Inspection 인증서 설정 예 이다.
Microsoft CA deep packet inspection | Cookbook
docs.fortinet.com
'FortiGate > Security Profile' 카테고리의 다른 글
| WebFilter : 차단한 URL 접속시 "비공개 연결이 아닙니다" 에러 (0) | 2023.03.29 |
|---|---|
| v7.2.4 : Application Control에서 QUIC 차단 메뉴 사라짐 (0) | 2023.03.06 |
| v7.2.4 : Hash를 이용하여 AntiVirus 예외처리 가능 (0) | 2023.02.03 |
| FortiSandbox로 보내는 최대 file size 조정 (0) | 2023.01.02 |
| IPS의 'sync-session-ttl' 설정 설명 (0) | 2022.12.23 |
댓글