[Çözüldü] Fortinet digicert sertifikalı sitelere erişemiyor

Merhaba,

Kullandığınız sertifikanın ekran görüntüsünü iletebilir misiniz?

Merhaba,

firmware eski ise sorun yaşayabilirsiniz. Bunun dışında web trafiği içerisinde ssl inspection yapıyorsanız buradan kaynaklı olabilir.

ssl inspection yok ise, firmware upgrade deneyebilirsiniz.

kolay gelsin,

yB

@yilmazbarcin @hasanhuseynozer

Merhaba, ben firewall üzerinden birkaç ekran görüntüsü paylaşayacağım. ana sağlayıcımın direkt hattını bir sanal makinaya bağlayıp baktığımda digicert sertifikalı sitelere girebiliyorum ama forti oldumu giremiyorum. Herhangi bir web filtreleme kuralım vs. bulunmuyor.

Bir internet çıkış kuralım var ve hiçbir limitim yoktur.

Kuralın içerisinden ekran görüntüsü paylaşacak olursam.

SSL inspection olarak yeni inspectionlar oluşturup expire olmuş sertifikalara güvenecek şekilde yapılandırma yapıp kuralım üzerinden seçsemde sorun devam etmektedir.

Firewalimi yeniden başlattım ve google dns, fortidns, opendns kullandım. Firewalimin SSL sertifikasını cliente kurdum sorun çözülmedi.

Fortigate sürümüm: v7.2.6  üst sürüm kullanmamam gerekiyor farklı noktadaki fortilerim ile ipsec bağlantım olduğu için.

Ek olarak digicert'in kök sertifikalarını resmi sitesinden indirip forti içerisine ca-crt olarka upload ettim. Sorun giderilmedi.

https://www.digicert.com/kb/digicert-root-certificates.htm
https://www.digicert.com/kb/digicert-root-community-certificates.htm

Sorunum hala devam etmektedir.

Merhaba,

Geçici bir policy oluşturup "certificate-inspection" ile test edebilir misin?

Gönderen: @mertkuskapan

↑

Fortigate sürümüm: v7.2.6  üst sürüm kullanmamam gerekiyor farklı noktadaki fortilerim ile ipsec bağlantım olduğu için.

Ipsec için farklı versiyon olması bir problem yaratmaz Yılmaz Bey'in dediği gibi problem devamı halinde upgrade gerekebilir.

@hasanhuseynozer Denedim sorun devam etmektedir. Hatta farklı client ve browserlar deniyorum. 

Bişey dikkatimi çekti. Edge diyor ki sertifika yok.. Bulunamadı. Sertifikayı vermiyor fortigate sanırım.

Merhaba;

"Full Sll Certificate Inspection" yerine "Sll Certificate Inspection" secip test edebilir misiniz?

ful ssl de clientlara fortigate ssl sertifikasını dağıtmazsanız sorun olacaktır.

selamlar

Herkese ilgisi ve desteği için çok teşekkür ederim. Fortigate hakkında yıllardır çalışan bir çok kişiler ile de görüştüm. Türkiye support ekibi ile de görüştüm sorunun sürüm bazlı olabileceğini söylediler ama update yapılsa da sonuç vermedi. 

SSL inspection'dan tutun sertifikaların clientlere dağıtılmasına, tüm kuralların kaldırılıp kısıtlamasız kural konulmasına, lisansların ve fortiguardın ayarlarından tutun tüm detayına kadar herşey denendi ama sonuç alınamamıştı.

Loglarda veri gidiyor ama log 2 tane oluşuyor. ip connection error hatası alınıyor. Bazen css olmadan sayfayı bir dakika sonra falan bozuk şekilde yüklüyordu.

Cihazın gateway adresi ile ilgili bir durum var olduğunu tespit ettim. Clientler doğru gateway adresi ile bağlanınca sorun otomatik olarak ortadan kalktı.  Yani 10'da 0,01 düzeyinde yaşanabilecek bir durum başıma geldi ve bu durumda ilk yapmanız gereken gateway adreslerinizin izini sürmek olacaktır. 2. lokasyon ile ipsec tünel olduğu için bunun etkisi var. 

İki lokasyon arasındaki vpn' koparsanızda nafile sanırım configurasyon aklında kaldığı için yine sokmuyor ilgili sitelere.

Bu sorunu çözdüğümde web sitelerin açılma hızı, performansı bariz şekilde arttı ve erişim sorunu yaşadığım yerlere olan sorunum giderildi.

bu konu gelecekte bu durumu birisi yaşarsa ona çözüm sağlayabilr. 🙂 Konuyu çözüldü olarak update edebilirsiniz.

Geri dönüş ve bilgi için teşekkürler, geçmiş olsun.