Fortigate 600c Engellenen site sertifika sorunu

Merhaba,

Certificate > Local Certificate  sekmesinden Fortinet_CA_SSLProxy sertifikasını bilgisayarınıza indirin. ve sırayla aşağıdaki iki farklı yükleme yapmayı dener misiniz? yüklemeyi yaptıktan sonra bilgisayarı yeniden başlatın.

 1. Adım

[url= http://l1311.hizliresim.com/1h/y/v1c4d.pn g" target="_blank">http://l1311.hizliresim.com/1h/y/v1c4d.pn g"/> [/img][/url]

[url= http://j1311.hizliresim.com/1h/y/v1c56.pn g" target="_blank">http://j1311.hizliresim.com/1h/y/v1c56.pn g"/> [/img][/url]

[url= http://j1311.hizliresim.com/1h/y/v1c5m.pn g" target="_blank">http://j1311.hizliresim.com/1h/y/v1c5m.pn g"/> [/img][/url]

[url= http://m1311.hizliresim.com/1h/y/v1c66.pn g" target="_blank">http://m1311.hizliresim.com/1h/y/v1c66.pn g"/> [/img][/url]

 

2. Adım

[url= http://l1311.hizliresim.com/1h/y/v1c4d.pn g" target="_blank">http://l1311.hizliresim.com/1h/y/v1c4d.pn g"/> [/img][/url]

[url= http://j1311.hizliresim.com/1h/y/v1c56.pn g" target="_blank">http://j1311.hizliresim.com/1h/y/v1c56.pn g"/> [/img][/url]

[url= http://j1311.hizliresim.com/1h/y/v1c78.pn g" target="_blank">http://j1311.hizliresim.com/1h/y/v1c78.pn g"/> [/img][/url]

 [url= http://m1311.hizliresim.com/1h/y/v1c66.pn g" target="_blank">http://m1311.hizliresim.com/1h/y/v1c66.pn g"/> [/img][/url]

 

 

 Yalniz networkteki tüm makinelerde ayni problem var

Merhaba,

Certificate > Local Certificate  sekmesinden Fortinet_CA_SSLProxy sertifikasını bilgisayarınıza indirin. ve sırayla aşağıdaki iki farklı yükleme yapmayı dener misiniz? yüklemeyi yaptıktan sonra bilgisayarı yeniden başlatın.

 1. Adım

[url= http://l1311.hizliresim.com/1h/y/v1c4d.pn g" target="_blank">http://l1311.hizliresim.com/1h/y/v1c4d.pn g"/> [/img][/url]

[url= http://j1311.hizliresim.com/1h/y/v1c56.pn g" target="_blank">http://j1311.hizliresim.com/1h/y/v1c56.pn g"/> [/img][/url]

[url= http://j1311.hizliresim.com/1h/y/v1c5m.pn g" target="_blank">http://j1311.hizliresim.com/1h/y/v1c5m.pn g"/> [/img][/url]

[url= http://m1311.hizliresim.com/1h/y/v1c66.pn g" target="_blank">http://m1311.hizliresim.com/1h/y/v1c66.pn g"/> [/img][/url]

 

2. Adım

[url= http://l1311.hizliresim.com/1h/y/v1c4d.pn g" target="_blank">http://l1311.hizliresim.com/1h/y/v1c4d.pn g"/> [/img][/url]

[url= http://j1311.hizliresim.com/1h/y/v1c56.pn g" target="_blank">http://j1311.hizliresim.com/1h/y/v1c56.pn g"/> [/img][/url]

[url= http://j1311.hizliresim.com/1h/y/v1c78.pn g" target="_blank">http://j1311.hizliresim.com/1h/y/v1c78.pn g"/> [/img][/url]

 [url= http://m1311.hizliresim.com/1h/y/v1c66.pn g" target="_blank">http://m1311.hizliresim.com/1h/y/v1c66.pn g"/> [/img][/url]

 

 

Merhaba

Bunun için yapmanız gereken web filter profilde  https scanningin işareti varsa kaldırın.
Sonra bu profilin kullanıldığı policyde ssl inspectionu aktif edin
ssl inspection dan https protokülüne check atın.
ve bu hatayı almayacaksınız.

versiyon 5 kullanan herkes için yukarıdaki işlemleri versiyon v5.05 te yapılacaktır.

 fortinet kullanan v5 olan firmwareleri v5.05 yapınız.

selamlar

Belirtmiş olduğum yükleme ile sorununuz çözüldü ise gpo ile dağıtımını yapabilirsiniz.

Https i kaldirirsak engellenn sitelerde sıkıntı çıkmazmı Versiyon 4 kullanmaktayiz v4 bu ayarlar mumkunmu birde diger arkadasin dedigi gibi yaptim ancak site engeline takilirsa sertifika problemi devam ediyor

 

Merhaba

Bunun için yapmanız gereken web filter profilde  https scanningin işareti varsa kaldırın.
Sonra bu profilin kullanıldığı policyde ssl inspectionu aktif edin
ssl inspection dan https protokülüne check atın.
ve bu hatayı almayacaksınız.

versiyon 5 kullanan herkes için yukarıdaki işlemleri versiyon v5.05 te yapılacaktır.

 fortinet kullanan v5 olan firmwareleri v5.05 yapınız.

selamlar

v5.05 e geçebilirsiniz , geçiş prosedürlerine uyun lütfen,v5.05 sizin için daha iyi ve daha stabil,log cihazınız varsa onuda update etmelisiniz.
yardıma ihtiyacınız olursa bana ulaşmaya çalışın.

http://docs.fortinet.com/fgt/sysadmin/fortigate-https-webfiltering-without-ssl-deep-scan-50.pdf

 

Normal
0

false
false
false

EN-US
X-NONE
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:"Times New Roman","serif";}

FortiOS 5.0 ile ssl
inspection/deep scan yapmaya gerek olmadan https filtreleme gelistirildi ve CN
yanind SNI (Server Name Inspection) ozelligi de eklendi. 

Bu sayede ssl inspection
yapmadan artik bir onceki ornekteki https://youtube.com  da
bloklamak mumkun oluyor.

Dolayisiyla musterilerde
browserlara FGT in SSL_Proxy sertifikasini girmek, musteriden kendi CA inden
subordinate sertifika/root sertifika alip Fortigate uzerine yuklemek vb.. Gibi
islemlere aslinda gerek kalmiyor.

Bunu yapmanin yontemi
ilgili web filter profile icerisinden “scan encrypted connections” secenegini
kaldirmak.

 

Burada 2 konu var dikkat
edilmesi gereken;

• SSL inspection profile her ne kadar web filtering icin
  kullanilmayacak olsa da ilgili policy icerisinde secilmeli (bu 5.2 ile
  duzenlenecek tekrar)
• Fortigate sadece “blokladigi” https siteler icin kendi
  seri nosunu iceren bir sertifika cikariyor. Bunun nedeni ssl inspection
  yapmasi degil (zaten yapmiyor) ama bloklanan sayfa bir https site oldugundan
  kullaniciya donen blok sayfasi da https uzerinden olmali dogal olarak. Bu
  sayfayi yaratabilmek icin kendi sertifikasini sunuyor kullaniciya. Bunu
  kaldirmak isterseniz ilgili web filter profile da CLI uzerinden asagidaki
  degisikligi yaparak blok sayfasini/sertifika uyarisini da
  kaldirabilirsiniz.

config webfilter profile

    edit
"default"

     
 set https-replacemsg disable

    end

end

 

 

---

Savaş Demir
Fortinet : (FCNSP) (FCNSA) Ver:V.5
Fortinet Certified Email Security Professional (FCESP)

(WCSP) Ver: 7-10.0,11
www.f1teknoloji.net
[email protected]