注册 登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

隐龙 为了一生的信念

今日默默沉于水,他日飞腾在九天...

 
 
 

日志

 
 

设置FortiGateSSL 证书认证  

2012-07-25 12:07:18|  分类: CAS/SSO |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

说明:
本文档针对所有FortiGate 的SSL证书登录进行说明,使用SSL证书登录通常需要用户有信任CA颁发的证书安装在SSL登录,并在防火墙上安装CA的公钥证书。本文档使用OpenSSL自签名证书来进行认证登录。
环境介绍
本文使用FortiGate82C 及OpenSSL生成证书做演示。本文支持的系统版本为FortiOS v4.0及更高。
步骤一:OpenSSL证书生成
OpenSSL具体安装及使用此文中不再累赘,请参考网上相关文档。

  1. 首先生成X509格式的CA自签名证书
    $openssl req -new -x509 -keyout myca.key -out myca.crt
  2. 生成SSL客户端的私钥(key文件)及csr文件
    $openssl genrsa -des3 -out SSL.key 1024
    $openssl req -new -key SSL.key -out SSL.csr
  3. 用生成的CA的证书为刚才生成的SSL.csr文件签名
    $openssl ca -in SSL.csr -out SSL.crt -cert myca.crt -keyfile myca.key
  4. 生成p12格式证书
    $openssl pkcs12 -export -inkey SSL.key -in SSL.crt -out SSL.pfx

完成以上操作后在当前目录下会有六个文件,分别是myca.crt,myca.key,SSL.crt,SSL.csr,SSL.key,SSL.pfx。其中CA的公钥myca.crt 和用户的私钥 SSL.pfx是我们需要的文件。
步骤二:配置FortiGate 证书及SSL PKI用户
首先在防火墙系统管理--证书—CA证书 导入刚才用于签名的CA公钥证书MyCA.crt
1
然后添加PKI用户-新建 输入用户名称,选择刚才导入对应的CA证书,标题可不填,如要填需要同CA证书中一致
2
然后添加SSLVPN用户组,并将该PKI用户添加进SSLVPN用户组中
3
在策略中启用SSL认证
4

步骤三:客户端安装证书
在客户端PC中安装经CA签发的私钥证书SSL.pfx,双击该证书。
5
输入建立私钥时输入的密码
6
7
完成后即可使用证书登录SSL VPN
输入https://vpnserver:10443,选择由对应CA颁发的证书,确定。
8

同样,如果需要使用FortiSSL 连接,选择相应证书
9

如果使用不正确的证书则会返回登录页面

  评论这张
 
阅读(1085)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018