我有一台 Fortigate 80C,允许通过 https 进行远程管理。
我访问该 URL 一切正常,但真正让我烦恼的一件事是,chrome 中会出现“不受信任的连接”,并显示“单击继续”的信息。
目前,该证书由 Fortigate 部门自行签名。
该设备上有 5 个 CA 签名的证书可供使用,但我无法弄清楚如何将这些证书分配给路由器接口。
有人知道如何将 CA 签名的证书分配给端口 443 上的 WAN 接口,这样它就不会一直要求我确认证书吗?
(我知道流量仍是加密的,但还是很好)
答案1
将您的证书上传到防火墙,Fortigate 证书用户指南将帮助您完成此操作。现在使用此证书进行 HTTPS 管理员访问。使用以下 CLI 命令:
config system global
set admin-server-cert <certname>
end
答案2
好的,这是我在 5.2 上所做的,以便我可以使用由我们的内部 CA 签名的证书:
- 系统->证书->本地证书->生成(这将生成 CR)
- 勾选新创建的 CR 并下载,然后在您喜欢的 CA 上进行处理
- 系统->证书->本地证书->导入(这将导入已签名的证书),如果尚未设置,请将类型设置为“本地证书”。FortiGate 现在应该已填写 CR 的 CA 信息。
- 按照上面的说明将证书设置为管理接口证书:
请注意这篇文章,它有点帮助。然而它有一点不完整:
- 首先做一个“conf system global”
- 然后执行“设置管理服务器证书?”来拉出列表
- 然后'设置 admin-server-cert < certname >'然后结束
答案3
答案就在这里:
http://yurisk.info/2013/05/04/disabling-ssl-deep-inspection-proxy-in-fortigate-should-be-easier/
相关命令在这里:
FGT80C # diagnose test application ssl 5
SSL AV Bypass is now on