Bu makalemizde fortigate utm üzerinde VPN bağlantısı sırasında SSL sertifika kullanımını ele alıyor olacağız. Fortigate ülkemizde ve dünyada bir çok kurum tarafından tercih edilen UTM, Firewall, Log Depolama, Access Point gibi bir çok cihazı üreten önemli bir marka.
Yapımızda kullanılan cihaz Fortigate 100D modeli ve OS versiyonu 5. Model farkı olmaksızın versiyon 5 yazılımını kullanan tüm yapılarda aşağıda izleyeceğimiz adımlar aynı olmaktadır. Cihaz üzerinde yapılandırılan VPN işleminde cihazın kendi sertifikası kullanılmaktadır. Bu işi bir adım daha ileri götürüp global sertifika sağlayıcılardan sertifika almak isterseniz aşağıdaki adımlar size kaynak olacaktır.
İşletim sistemimiz üzerinden Forti SSL VPN yazılımından vpn bağlantısı yapmak istediğimizde aşağıdaki gibi sertifika uyarısı almaktayız. Bunun nedeni cihazın üzerinde bir sertifika bulunması fakat bu sertifikanın Güvenilir Global Sertifika üreticileri tarafından sağlanmayan bir sertifika olmasıdır.
Cihazımız üzerine Global bir sertifika ekleyerek bu sorunu ortadan kaldırabiliriz. Bu nedenle yapmamız gerekenler aşağıdaki gibidir.
System menüsünden Certificates kısmına girelim. Açılan ekranda sistemin farklı işlemlerde kullandığı local sertifikalar yer almaktadır. Biz global bir sertifika almak için gerekli kodu cihaz üzerinde oluşturabilmekteyiz. Sonra üretilen kod ile global sertifika sağlayıcılardan sertifika talebinde bulunabiliriz. Bu işlem için GENERATE butonuna tıklayalım.
Sertifika oluşturma ekranında ip, mail adresi ve Domain Name bilgisine göre sertifika oluşturulabilmektedir. Biz Domain Name mimarisine göre sertifika oluşturacağız. Yapımızda kullanılan ip bilgisi ileride değişebilir bu nedenle bizim için en mantıklı seçim Domain Name seçeneğidir.
Bu seçimi yaptıktan sonra sertifikamıza bir isim verelim.
Organizasyon bilgilerimizi aşağıdaki ekrana girelim. Biz VPN bağlantımızı sslvpn.cozumpark.com adresimizden gerçekleştireceğimiz için Domain Name kısmına sslvpn.cozumpark.com şeklinde domain bilgisini giriyorum. Biz bağlantımızı bu adres üzerinden yaparsak sertifika uyarısı almayacağız. Ancak ip üzerinden yaparsak yine sistemin sertifikasını kullanmak durumunda kalacağız. Yani bu sertifika sadece sslvpn.cozumpark.com adresine hizmet edecektir. Bilgileri tamamladıktan sonra OK butonuna tıklayalım.
Şu anda aşağıda görüldüğü gibi sertifikalar ekranına sertifikamız PENDING olarak eklendi. Bu sertifikayı Global Sertifika sağlayıcılarından temin etmemiz gerekmektedir. Bu ekranda oluşturulan sertifikada alacağımız sertifikanın oluşturulması için gerekli olan CSR kodu bulunmaktadır. Download butonuna tıklayarak CSR kodumuzu bilgisayarımıza kayıt edelim.
Şu anda sertifikamızın CSR kodunu bilgisayarımıza kayıt ettik.
CSR kod sertifika üretecek olan sistemlerin kullanacağı kodları içermektedir. Bu kodlara göre sertifika oluşturmakla görevli yazılımlar bize ihtiyacımız olan sertifikayı üretirler. İçeriğine baktığımızda aşağıda olduğu gibi kriptolanmış bir takım metinler yer almaktadır.
Ben bu kodu Global Sertifika satan bir firmaya ilettim ve 3 yıllık bana gerekli olan bir sertifika temin ettiler. Sertifika nedir ve hangi sertifikalar kullanmam gerekir gibi noktalarda mutlaka aşağıdaki makaleleri okumanızı öneririm.
1- http://www.cozumpark.com/blogs/gvenlik/archive/2014/07/27/ssl-secure-sockets-layer-nasil-calisir.aspx |
2- http://www.cozumpark.com/blogs/gvenlik/archive/2014/10/06/ssl-sertifikasi-ve-ssl-cesitleri.aspx |
Gerekli sertifikayı yukarıdaki CSR kodunu sertifika üreticisi firmaya verip elde ettikten sonra bu sertifikayı sisteme ekleme aşamasına geldi. Bu işlem için sertifika ekranımızda yer alan IMPORT menüsüne tıklayarak Local Certificate linkine tıklayalım.
Açılan ekranımızda sertifika yolu istenmektedir. Bu ekranımızda satın aldığımız sertifikayı gösterelim. Bu sertifika bize sertifika üreticisi tarafından mail olarak yollanmakta olup çok ufak bir KB’lar seviyesinde bir dosyadır. Tabi şunu da eklemek gerekir online olarak çalışan üye olduktan sonra gerekli csr kodunu verip üye ücretini ödeyerek online olarak bu sertifikayı alabileceğimiz ortamlarda bulunmaktadır.
Sertifikamızı seçelim.
Aşağıdaki ekranımızda olduğu gibi PENDING olan sertifikamız OK duruma geldi.
Biz buraya kadar olan kısımda sertifika kodunu üretim download ettik. Download ettiğimiz koda göre sertifika satın aldık. Aldığımız bu Global Sertifikayı cihazımıza yükledik. Bundan sonraki aşamada ise cihaz üzerinde VPN yapılması durumunda bu sertifikanın kullandırılmasıdır.
Bu işlem için VPN menüsüne gelerek burada yer alan Settings sekmesine girelim. Bu ekranda Server Certificate kısmından sertifikamızı seçelim.
Listen on Interface : Burada svpn yapılırken bu vpn cihazın hangi portuna gelecekse o port seçilmedir. Ben internet dış bacağım olan Wan1 potunu seçiyorum.
Hosts : Bu ekranda VPN yapabilecek kullanıcılarımı içeren grubumu seçiyorum.
IP Ranges: Bu ekranda dağıtılacak olan ip bloğunu seçiyoruz.
Şu anda ayarlarımız tamamlandı. Şimdi bir VPN bağlantısı yapalım. Bu bağlantımızda sertifika uyarısı almadan bağlantımızı gerçekleştirdik.
Umarım yararlı olur. Bir başka makalede görüşmek dileğiyle.