Forum
Merhaba
Localde iis web sunucu var ve dış dünyadan erişiliyor. Fakat ben sunucu tarafında URL rewrite yaptığımda ve dış dünyadan erişmeye çalıştığında benden browser benden SSL sertifikası istiyor ve ekli imajda göründüğü şekilde uyarı alıyorum, iptalle devam edersem site normal şekilde https ile açılıyor.
Acaba bu durum fortigate tarafından mı kaynaklanıyor?
dışarıdan içeri olan kuralda nat seçili ise kaldırınız.
fortigate dışında bir ürün kullanıyormusunuz ? waf gibi ?
bu arada gelen ssl sayfada ki ssl i kontrol edip neyin cevapladığını görebilirsiniz.
iyi çalışmalar
İnbound nat kapalı ve başka bir ürün kullanmıyorum. Bu iş için fiziksel olarak bir port ve bu portun bir Real İp'si var ve bu port için wan to lan firewal policy var bir tane. bir porttan gelen isteğe aynı porttan yanıtlanır mantığıyla outbound için bir policy düzenlemedim.
Aklıma şöyle bir şey geliyor ama doğru mudur bilemiyorum ; site için aldığım sertifikayı fortigate de inport etmek gerekir mi acaba diye ama bunu denemedim.
tabiiki fortigate girmeniz lazım.muhtemelen fortigate https te karşılıyor ve sertifika o yüzden fortinet cevap verdiği için güvenilmez diye işaretleniyor.
https sayfada adres çubuğu kısmında yeşil kilit iconuna tıklarsanız size ssl de ne cevap veriyor görebilirsiniz.
ssl sertifikanızı fortigate e girmeniz şart.
Bilgi için teşekkür ederim lakin browserda güvensiz ibaresi gelmiyor. Linki yazıp entera bastığınız an karşınıza yukarıdaki resimdeki ileti geliyor. Direkt kullanıcıdan sertifika istiyor bunu iptalle geçersen normal şekilde açılıyor linkini solunda bir asma kilit imajı belirtiyor ve güvenli değil ibaresi görünmüyor herşey yolundaymış gibi. Sanırım kullanıcıdan sertifika talep eden fortigatein kendisi, ama niye? 😄
Selamlar,
Foritgate bir firewall oldugundan, sizin rewrite işleminize karışmaz, bir kac noktayı kontol edelim;
1. Bowser SSL uyarısı verdiğinde yayınlanan sertifika (kilit simgesindeki) kime ait?
2. Internet > Server için yazdıgınız policyde SSL Inspection acık mı? Acık ise deep ispection mı yoksa sertifika base mi?
Fortigate fortinet markasının L7 firewalludur, bir Web application firewall degildir. Bu sebeple virtual paching yapmaz. Sadece paketi acması yada acmaması istenebilir. Bu sebeple deep inspection yapıp yapmamanız önemli.
Bu arada VIP L3 mü L4 mü oluşturuldu ?
Bu arada Mobile'den mi deniyorsunuz?
Yukarıdaki resim mobilden ama bilgisayardan girdiğimde de aynı istek geliyor.
SSL inspection kapalı policyde..
Policy şu şekilde;
Incoming interface: wan2
Outgıing interface: lan
source: all
Destination : virtual ip = 80 ve 443 ekli
Service :all
Nat kapalı
Ips ise protect_http aktif
SSL insp. Kapalı
Bu şekilde...
IPS acıkken SSL kapalı olmaz.
Rica etsem Bir VIP'in bir de POlicyin ekran görüntüsünü ekler misin?
yukarıda sertifika onayla'yı iptalle çıkınca normal şekilde açılıyor ve "Bu site güvenli" ifadesi görünüyor.
Arkadaşlar konuyu çözdüm..
Evet Fortigate ile ilgisi yokmuş, iis'de oluşturduğum siteyi silip yeniden oluşturdum ve konfigüre ettim. Öncesinde de aşağıdaki resimdeki ayarı yapmıştım fakat çalışmamıştı. Şimdi sıfırdan siteyi oluşturup aşağıdaki ayarı etkinleştirdiğimde sorunsuz çalışıyor.
Yardım çabanız için teşekkür ederim.
bilgilendirme için teşekkürler