FortiOS v7.2.1부터 별도의 공인인증서나 let's encrypt 를 사용하지 않고, 자체 인증서(Fortinet_GUI_Server)를 이용하여 인증서 경고를 없앨 수 있다.
(v7.0.2 이상 : https://docs.fortinet.com/document/fortigate/7.0.0/new-features/165397/local-certificate-wizard-7-0-2)
FortiGate가 자체 CA 인증서(Fortinet_CA_SSL)이용하여 " Fortinet_GUI_Server"를 만드는 방식이다.
FortiGate의 HTTPS가 활성화된 모든 물리적 및 논리적(VLAN, 루프백 등) 인터페이스의 IP 주소를 인증서의 SAN((Subject Alternative Name, 주체 대체 이름)에 포함시켜 인증서를 만든다.
" Fortinet_CA_SSL" 인증서를 다운받아서, 접속 하려는 PC의 "신뢰할 수 있는 루트 인증 기관"에 설치한다.
혹시 상단 방화벽에서 DNAT 된 IP로 접속한다면, CLI 명령어로 DNAT IP를 설정한다.
접속하려는 PC에 CA인증서를 설치한 후, 브라우저의 캐시/쿠키를 삭제하고 접속하면 아래와 같이 경고창이 없고, 안전한 연결로 표시된다.
여전히 경고창이 표시되면 FortiGate System>Settings 메뉴에서 다른 인증서(예 : Fortinet_Factory)를 선택/적용 했다가, 다시 " Fortinet_GUI_Server"로 적용 해본다.
(또는 FortiGate의 다른 인터페이스로 접속해 본다.)
브라우저에서 인증서를 다운받아서 확인해 보면, 인증서의 SAN((Subject Alternative Name, 주체 대체 이름)에 FortiGate의 IP들이 들어가 있는 것을 확인 할 수 있다.
만약, FortiGate의 IP 또는 management IP가 변경/추가 되면, Fortinet_GUI_Server 인증서가 업데이트되고 새 IP로 다시 생성된다.
'FortiGate > System' 카테고리의 다른 글
| FortiGate-VM Interface speed 설정 옵션 (0) | 2024.06.11 |
|---|---|
| Fortigate secondary IP 간 통신 제어 (0) | 2024.05.23 |
| Session list에서 Interface 정보 확인 (0) | 2024.05.10 |
| v7.0.15 업그레이드 주의사항 (0) | 2024.05.07 |
| VDOM과 VLAN의 관계 (0) | 2024.04.01 |
댓글