Forum

Fortigate 600c Enge...
 
Bildirimler
Hepsini Temizle

Fortigate 600c Engellenen site sertifika sorunu

7 Yazılar
3 Üyeler
0 Reactions
1,452 Görüntüleme
(@husnubagdatlioglu)
Gönderiler: 316
Honorable Member
Konu başlatıcı
 

arkadaslar merhabalar engellediğimiz sitelere griş yapılmak istendiğinde sertifika problemi yaşıyoruz devam et dediğimizde ise fortigate engelleme ekranı geliyor ben forti içinden ssl sertifikasını indirip domain içinde gpo ile dağıttım clientlara baktıgımdada guvenılenler arasında yer alıyor ama yinede engellemede bu problemi yaşamaya başladık?

 
Gönderildi : 30/11/2013 19:38

(@UmutKARTOPU)
Gönderiler: 172
Estimable Member
 

Merhaba,

Certificate > Local Certificate  sekmesinden Fortinet_CA_SSLProxy sertifikasını bilgisayarınıza indirin. ve sırayla aşağıdaki iki farklı yükleme yapmayı dener misiniz? yüklemeyi yaptıktan sonra bilgisayarı yeniden başlatın.

 1. Adım

[url= http://l1311.hizliresim.com/1h/y/v1c4d.pn g" target="_blank">http://l1311.hizliresim.com/1h/y/v1c4d.pn g"/> [/img][/url]

[url= http://j1311.hizliresim.com/1h/y/v1c56.pn g" target="_blank">http://j1311.hizliresim.com/1h/y/v1c56.pn g"/> [/img][/url]

[url= http://j1311.hizliresim.com/1h/y/v1c5m.pn g" target="_blank">http://j1311.hizliresim.com/1h/y/v1c5m.pn g"/> [/img][/url]

[url= http://m1311.hizliresim.com/1h/y/v1c66.pn g" target="_blank">http://m1311.hizliresim.com/1h/y/v1c66.pn g"/> [/img][/url]

 

2. Adım

[url= http://l1311.hizliresim.com/1h/y/v1c4d.pn g" target="_blank">http://l1311.hizliresim.com/1h/y/v1c4d.pn g"/> [/img][/url]

[url= http://j1311.hizliresim.com/1h/y/v1c56.pn g" target="_blank">http://j1311.hizliresim.com/1h/y/v1c56.pn g"/> [/img][/url]

[url= http://j1311.hizliresim.com/1h/y/v1c78.pn g" target="_blank">http://j1311.hizliresim.com/1h/y/v1c78.pn g"/> [/img][/url]

 [url= http://m1311.hizliresim.com/1h/y/v1c66.pn g" target="_blank">http://m1311.hizliresim.com/1h/y/v1c66.pn g"/> [/img][/url]

 

 

 
Gönderildi : 30/11/2013 21:04

(@husnubagdatlioglu)
Gönderiler: 316
Honorable Member
Konu başlatıcı
 

 Yalniz networkteki tüm makinelerde ayni problem var

Merhaba,

Certificate > Local Certificate  sekmesinden Fortinet_CA_SSLProxy sertifikasını bilgisayarınıza indirin. ve sırayla aşağıdaki iki farklı yükleme yapmayı dener misiniz? yüklemeyi yaptıktan sonra bilgisayarı yeniden başlatın.

 1. Adım

[url= http://l1311.hizliresim.com/1h/y/v1c4d.pn g" target="_blank">http://l1311.hizliresim.com/1h/y/v1c4d.pn g"/> [/img][/url]

[url= http://j1311.hizliresim.com/1h/y/v1c56.pn g" target="_blank">http://j1311.hizliresim.com/1h/y/v1c56.pn g"/> [/img][/url]

[url= http://j1311.hizliresim.com/1h/y/v1c5m.pn g" target="_blank">http://j1311.hizliresim.com/1h/y/v1c5m.pn g"/> [/img][/url]

[url= http://m1311.hizliresim.com/1h/y/v1c66.pn g" target="_blank">http://m1311.hizliresim.com/1h/y/v1c66.pn g"/> [/img][/url]

 

2. Adım

[url= http://l1311.hizliresim.com/1h/y/v1c4d.pn g" target="_blank">http://l1311.hizliresim.com/1h/y/v1c4d.pn g"/> [/img][/url]

[url= http://j1311.hizliresim.com/1h/y/v1c56.pn g" target="_blank">http://j1311.hizliresim.com/1h/y/v1c56.pn g"/> [/img][/url]

[url= http://j1311.hizliresim.com/1h/y/v1c78.pn g" target="_blank">http://j1311.hizliresim.com/1h/y/v1c78.pn g"/> [/img][/url]

 [url= http://m1311.hizliresim.com/1h/y/v1c66.pn g" target="_blank">http://m1311.hizliresim.com/1h/y/v1c66.pn g"/> [/img][/url]

 

 

 
Gönderildi : 01/12/2013 19:04

(@savasdemir)
Gönderiler: 1870
Illustrious Member
 

Merhaba

Bunun için yapmanız gereken web filter profilde  https scanningin işareti varsa kaldırın.
Sonra bu profilin kullanıldığı policyde ssl inspectionu aktif edin
ssl inspection dan https protokülüne check atın.
ve bu hatayı almayacaksınız.

versiyon 5 kullanan herkes için yukarıdaki işlemleri versiyon v5.05 te yapılacaktır.

 fortinet kullanan v5 olan firmwareleri v5.05 yapınız.

selamlar

 
Gönderildi : 02/12/2013 19:28

(@UmutKARTOPU)
Gönderiler: 172
Estimable Member
 

Belirtmiş olduğum yükleme ile sorununuz çözüldü ise gpo ile dağıtımını yapabilirsiniz.

 
Gönderildi : 02/12/2013 20:38

(@husnubagdatlioglu)
Gönderiler: 316
Honorable Member
Konu başlatıcı
 

Https i kaldirirsak engellenn sitelerde sıkıntı çıkmazmı Versiyon 4 kullanmaktayiz v4 bu ayarlar mumkunmu birde diger arkadasin dedigi gibi yaptim ancak site engeline takilirsa sertifika problemi devam ediyor

 

Merhaba

Bunun için yapmanız gereken web filter profilde  https scanningin işareti varsa kaldırın.
Sonra bu profilin kullanıldığı policyde ssl inspectionu aktif edin
ssl inspection dan https protokülüne check atın.
ve bu hatayı almayacaksınız.

versiyon 5 kullanan herkes için yukarıdaki işlemleri versiyon v5.05 te yapılacaktır.

 fortinet kullanan v5 olan firmwareleri v5.05 yapınız.

selamlar

 
Gönderildi : 03/12/2013 20:58

(@savasdemir)
Gönderiler: 1870
Illustrious Member
 

v5.05 e geçebilirsiniz , geçiş prosedürlerine uyun lütfen,v5.05 sizin için daha iyi ve daha stabil,log cihazınız varsa onuda update etmelisiniz.
yardıma ihtiyacınız olursa bana ulaşmaya çalışın.

http://docs.fortinet.com/fgt/sysadmin/fortigate-https-webfiltering-without-ssl-deep-scan-50.pdf

 

Normal
0

false
false
false

EN-US
X-NONE
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:"Times New Roman","serif";}

FortiOS 5.0 ile ssl
inspection/deep scan yapmaya gerek olmadan https filtreleme gelistirildi ve CN
yanind SNI (Server Name Inspection) ozelligi de eklendi. 

Bu sayede ssl inspection
yapmadan artik bir onceki ornekteki https://youtube.com  da
bloklamak mumkun oluyor.

Dolayisiyla musterilerde
browserlara FGT in SSL_Proxy sertifikasini girmek, musteriden kendi CA inden
subordinate sertifika/root sertifika alip Fortigate uzerine yuklemek vb.. Gibi
islemlere aslinda gerek kalmiyor.

Bunu yapmanin yontemi
ilgili web filter profile icerisinden “scan encrypted connections” secenegini
kaldirmak.

 

Burada 2 konu var dikkat
edilmesi gereken;

  • SSL inspection profile her ne kadar web filtering icin
    kullanilmayacak olsa da ilgili policy icerisinde secilmeli (bu 5.2 ile
    duzenlenecek tekrar)
  • Fortigate sadece “blokladigi” https siteler icin kendi
    seri nosunu iceren bir sertifika cikariyor. Bunun nedeni ssl inspection
    yapmasi degil (zaten yapmiyor) ama bloklanan sayfa bir https site oldugundan
    kullaniciya donen blok sayfasi da https uzerinden olmali dogal olarak. Bu
    sayfayi yaratabilmek icin kendi sertifikasini sunuyor kullaniciya. Bunu
    kaldirmak isterseniz ilgili web filter profile da CLI uzerinden asagidaki
    degisikligi yaparak blok sayfasini/sertifika uyarisini da
    kaldirabilirsiniz.

config webfilter profile

    edit
"default"

     
 set https-replacemsg disable

    end

end

 

 


Savaş Demir
Fortinet : (FCNSP) (FCNSA) Ver:V.5
Fortinet Certified Email Security Professional (FCESP)

(WCSP) Ver: 7-10.0,11
www.f1teknoloji.net
[email protected]

 
Gönderildi : 20/12/2013 16:30

Paylaş: