Forum

Fortinet digicert s...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Fortinet digicert sertifikalı sitelere erişemiyor

9 Yazılar
5 Üyeler
0 Reactions
763 Görüntüleme
(@mertkuskapan)
Gönderiler: 28
Eminent Member
Konu başlatıcı
 

Merhaba, fortigate cihazım digicert.com SSL sertifikalarına sahip siteleri açamıyor. Time out oluyor. 

kurallar any any olmasına rağmen hiçbir şekilde erişim sağyamıyorum. Forumda şu konuya rastladım. Let's encrypt için yaşanmış fakat bende digicert kullanan sitelerde sorun oluyor (Microsoft, eset, merkez bankası)

Aynı şekilde bende süresi dolmuş ssl sertifikalarına güven dememe rağmen sorunu aşamadım. 

 
Gönderildi : 02/01/2024 23:52

(@hasanhuseynozer)
Gönderiler: 103
Estimable Member
 

Merhaba,

Kullandığınız sertifikanın ekran görüntüsünü iletebilir misiniz?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 03/01/2024 21:58

(@yilmazbarcin)
Gönderiler: 315
Illustrious Member
 

Merhaba,

firmware eski ise sorun yaşayabilirsiniz. Bunun dışında web trafiği içerisinde ssl inspection yapıyorsanız buradan kaynaklı olabilir.

ssl inspection yok ise, firmware upgrade deneyebilirsiniz.

kolay gelsin,

yB

 
Gönderildi : 04/01/2024 12:55

(@mertkuskapan)
Gönderiler: 28
Eminent Member
Konu başlatıcı
 

@yilmazbarcin @hasanhuseynozer

Merhaba, ben firewall üzerinden birkaç ekran görüntüsü paylaşayacağım. ana sağlayıcımın direkt hattını bir sanal makinaya bağlayıp baktığımda digicert sertifikalı sitelere girebiliyorum ama forti oldumu giremiyorum. Herhangi bir web filtreleme kuralım vs. bulunmuyor.

Bir internet çıkış kuralım var ve hiçbir limitim yoktur.

image

Kuralın içerisinden ekran görüntüsü paylaşacak olursam.

image

SSL inspection olarak yeni inspectionlar oluşturup expire olmuş sertifikalara güvenecek şekilde yapılandırma yapıp kuralım üzerinden seçsemde sorun devam etmektedir.

image
image

Firewalimi yeniden başlattım ve google dns, fortidns, opendns kullandım. Firewalimin SSL sertifikasını cliente kurdum sorun çözülmedi.

Fortigate sürümüm: v7.2.6  üst sürüm kullanmamam gerekiyor farklı noktadaki fortilerim ile ipsec bağlantım olduğu için.

 

Ek olarak digicert'in kök sertifikalarını resmi sitesinden indirip forti içerisine ca-crt olarka upload ettim. Sorun giderilmedi.

https://www.digicert.com/kb/digicert-root-certificates.htm
https://www.digicert.com/kb/digicert-root-community-certificates.htm

image

 

Sorunum hala devam etmektedir.

Bu ileti 11 ay önce Mert Kuşkapan tarafından düzenlendi
 
Gönderildi : 05/01/2024 00:46

(@hasanhuseynozer)
Gönderiler: 103
Estimable Member
 

Merhaba,

Geçici bir policy oluşturup "certificate-inspection" ile test edebilir misin?

Gönderen: @mertkuskapan

Fortigate sürümüm: v7.2.6  üst sürüm kullanmamam gerekiyor farklı noktadaki fortilerim ile ipsec bağlantım olduğu için.

Ipsec için farklı versiyon olması bir problem yaratmaz Yılmaz Bey'in dediği gibi problem devamı halinde upgrade gerekebilir.

 

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 05/01/2024 01:50

(@mertkuskapan)
Gönderiler: 28
Eminent Member
Konu başlatıcı
 

@hasanhuseynozer Denedim sorun devam etmektedir. Hatta farklı client ve browserlar deniyorum. 

Bişey dikkatimi çekti. Edge diyor ki sertifika yok.. Bulunamadı. Sertifikayı vermiyor fortigate sanırım.

 
Gönderildi : 05/01/2024 14:47

(@serkanvargel)
Gönderiler: 181
Estimable Member
 

Merhaba;

"Full Sll Certificate Inspection" yerine "Sll Certificate Inspection" secip test edebilir misiniz?

 

ful ssl de clientlara fortigate ssl sertifikasını dağıtmazsanız sorun olacaktır.

selamlar

 
Gönderildi : 10/01/2024 09:07

(@mertkuskapan)
Gönderiler: 28
Eminent Member
Konu başlatıcı
 

Herkese ilgisi ve desteği için çok teşekkür ederim. Fortigate hakkında yıllardır çalışan bir çok kişiler ile de görüştüm. Türkiye support ekibi ile de görüştüm sorunun sürüm bazlı olabileceğini söylediler ama update yapılsa da sonuç vermedi. 

SSL inspection'dan tutun sertifikaların clientlere dağıtılmasına, tüm kuralların kaldırılıp kısıtlamasız kural konulmasına, lisansların ve fortiguardın ayarlarından tutun tüm detayına kadar herşey denendi ama sonuç alınamamıştı.

Loglarda veri gidiyor ama log 2 tane oluşuyor. ip connection error hatası alınıyor. Bazen css olmadan sayfayı bir dakika sonra falan bozuk şekilde yüklüyordu.

Cihazın gateway adresi ile ilgili bir durum var olduğunu tespit ettim. Clientler doğru gateway adresi ile bağlanınca sorun otomatik olarak ortadan kalktı.  Yani 10'da 0,01 düzeyinde yaşanabilecek bir durum başıma geldi ve bu durumda ilk yapmanız gereken gateway adreslerinizin izini sürmek olacaktır. 2. lokasyon ile ipsec tünel olduğu için bunun etkisi var. 

İki lokasyon arasındaki vpn' koparsanızda nafile sanırım configurasyon aklında kaldığı için yine sokmuyor ilgili sitelere.

Bu sorunu çözdüğümde web sitelerin açılma hızı, performansı bariz şekilde arttı ve erişim sorunu yaşadığım yerlere olan sorunum giderildi.

bu konu gelecekte bu durumu birisi yaşarsa ona çözüm sağlayabilr. 🙂 Konuyu çözüldü olarak update edebilirsiniz.

Bu ileti 11 ay önce 2 defa Mert Kuşkapan tarafından düzenlendi
 
Gönderildi : 11/01/2024 09:31

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 

Geri dönüş ve bilgi için teşekkürler, geçmiş olsun.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 11/01/2024 15:55

Paylaş: