Forum

Fortigate full-SSl-...
 
Bildirimler
Hepsini Temizle

Fortigate full-SSl-insception sertifika hakkında

4 Yazılar
3 Üyeler
0 Reactions
2,934 Görüntüleme
(@mehmet-ali)
Gönderiler: 337
Honorable Member
Konu başlatıcı
 

herkese Merhaba Benim iki sorum olacak şimdidden destekleriniz için teşekkür ederim.

1.Farklı lokasyonlarda olmak üzere toplam 20 adet forti cihazım var (80C,60D,80CM,90D,110C) gibi ssl sertifika almak istiyorum tek bir sertifika alsam yeterli olurmu hepsine uygulayabilirmiyim.

2.Full ssl insecpiton aktif ettiğimde fortinin defalutta olan ssl proxy sertifikasını aktif ediyorum dolayısıyla kullanıcılarda ssl sertifika yüklü olmadığı için

sitelerde hata veriyor gpo üzerinden dağıtıyorum ama wifi kullanıcılarında ise (domain'e dahil değil) hata veriyor elle sertifikayı yüklemek zorunda kalıyoruz gerek değişik lokasyonlar gerek kullanıcı sayısının fazla olmasından dolayı bu iş bizim için zorlaşıyor, onun için sertifika satın alsam yine tüm kullanıcılarda ssl hatası verirmi sertifika satın alma işlemini domain bazlımı yada ne tür almam gerekir yardımcı olursanız sevinirim.

 
Gönderildi : 09/12/2016 13:48

(@erkanbbayraktaroglu)
Gönderiler: 376
Reputable Member
 

herkese Merhaba Benim iki sorum olacak şimdidden destekleriniz için teşekkür ederim.

1.Farklı lokasyonlarda olmak üzere toplam 20 adet forti cihazım var (80C,60D,80CM,90D,110C) gibi ssl sertifika almak istiyorum tek bir sertifika alsam yeterli olurmu hepsine uygulayabilirmiyim.

2.Full ssl insecpiton aktif ettiğimde fortinin defalutta olan ssl proxy sertifikasını aktif ediyorum dolayısıyla kullanıcılarda ssl sertifika yüklü olmadığı için

sitelerde hata veriyor gpo üzerinden dağıtıyorum ama wifi kullanıcılarında ise (domain'e dahil değil) hata veriyor elle sertifikayı yüklemek zorunda kalıyoruz gerek değişik lokasyonlar gerek kullanıcı sayısının fazla olmasından dolayı bu iş bizim için zorlaşıyor, onun için sertifika satın alsam yine tüm kullanıcılarda ssl hatası verirmi sertifika satın alma işlemini domain bazlımı yada ne tür almam gerekir yardımcı olursanız sevinirim.

Merhaba;

SSL sertifika bildiğim kadarıyla her cihaz için farklı alınıyor, bilen kişiler daha net bilgi verebilir.

Wifi Kullanıcılarına özel Web filter oluşturup, SSL İnspection bölümünde Exempt from SSL inspection tabı altına web filter kategorileri vs ekleyip SSL inspectiona takılmadan devam etsin diyebiliyorsunuz. Sertifika almadan böyle bir çözümle devam edebilirsiniz. 

 
Gönderildi : 10/12/2016 12:17

(@yilmazbarcin)
Gönderiler: 315
Illustrious Member
 

Merhaba,

1- *.domain.com wildcard ssl alarak bunu tüm cihazlarınıza girebilirsiniz. Bu sertifikayı nerede kullanmak istiyorsunuz ? Örneğin SSL VPN için kullanmak istiyorsanız evet kullanabilirsiniz. Dikkat edilmesi gereken, ilk sertifikayı satın almak için bir cihazdan csr oluşturacaksınız, ordan oluşan csr i sertifika sağlayıcısına gönderip satın alacaksınız, size gelen cer dosyasını import edeceksiniz. diğer cihazlara buradan export ettiğiniz sertifikayı girmeniz gerekiyor. aksi taktirde direk cer 'i giremezsiniz.

 

2- Wifi 'i ayrı bir VLAN yaparak, bu vlan'lardan gelen trafik için full ssl inspection yapmak yerine sadece kısıtlı yapabilirsiniz. alacağınız herhangi bir ssl ile inspection yapamazsınız, sonuç itibari ile siizn bu sertifikanız *.google.com u kapsamayacak kullanıcı https://www.google.com a gittiğinde size ssl.domain.com gibi farklı bir name sertifika basacaksınız, her durumda uyarı gelir.

 

kolay gelsin,

yB

 
Gönderildi : 10/12/2016 13:04

(@mehmet-ali)
Gönderiler: 337
Honorable Member
Konu başlatıcı
 

Merhaba,

1- *.domain.com wildcard ssl alarak bunu tüm cihazlarınıza girebilirsiniz. Bu sertifikayı nerede kullanmak istiyorsunuz ? Örneğin SSL VPN için kullanmak istiyorsanız evet kullanabilirsiniz. Dikkat edilmesi gereken, ilk sertifikayı satın almak için bir cihazdan csr oluşturacaksınız, ordan oluşan csr i sertifika sağlayıcısına gönderip satın alacaksınız, size gelen cer dosyasını import edeceksiniz. diğer cihazlara buradan export ettiğiniz sertifikayı girmeniz gerekiyor. aksi taktirde direk cer 'i giremezsiniz.

 

2- Wifi 'i ayrı bir VLAN yaparak, bu vlan'lardan gelen trafik için full ssl inspection yapmak yerine sadece kısıtlı yapabilirsiniz. alacağınız herhangi bir ssl ile inspection yapamazsınız, sonuç itibari ile siizn bu sertifikanız *.google.com u kapsamayacak kullanıcı https://www.google.com a gittiğinde size ssl.domain.com gibi farklı bir name sertifika basacaksınız, her durumda uyarı gelir.

 

kolay gelsin,

yB

 

öncelikle cevabınız için teşekkür ederim.

SSL sertifikayı vpn de kullanmıcaz sadece ssl insecption full tarafında kullanmak istiyoruz. ama sizin dediğinize göre sertifika almış olsak dahi bunu ssl insception full e eklesek yine https://google.com gibi yerlere giderken sormuş olacaktır. taki o sertifikayı kullanıcıya ekleyee kadar.

Kısmen SSl insception full tarafında sertifika eklemenin bir yararı olmıcaktır ohalde. dediğiniz gibi

Exempt from SSL Inspection tarafında sertifikayı işletmiyeceğimiz yerleri seçerek yapabiliriz. saygılar.

 
Gönderildi : 10/12/2016 15:07

Paylaş: