在本课中,你将了解FortiGate为什么使用数字证书,以及如何配置FortiGate以使用证书进行SSL和SSH流量检查。
在这节课中,你将学习上图显示的主题。
完成本部分后,你应该能够实现上图显示的目标。
通过展示对FortiGate如何使用证书的熟练理解,你将能够更好地判断如何以及何时可以在你自己的网络中使用证书。
数字证书是用于通过加密和公钥基础设施(PKI)对设备、服务器或用户进行身份验证的文件或密码。这是一份由CA制作和签署的数字文件。
它确保只有受信任的设备和用户才能访问网络。它标识一个终端实体,例如人(例如,Joe Bloggings)、设备(例如,webserver.acme.com)或事物(例如,证书撤销列表)。数字证书的另一个常见用途是向浏览器验证网站的合法性,即SSL证书。
证书有三个主要用途:
● 身份验证:公共名称(CN)或主题备选名称(SAN)字段,或两者都用于标识证书所代表的设备。
● 加密和解密:私钥和公钥对用于加密和解密流量。
● 完整性:使用发送方和接收方都知道的秘密密钥对消息进行哈希。接收方使用密钥检查哈希值,并确认消息数据的完整性和真实性。
FortiGate通过读取Subject字段中的CN值来识别设备或人员,该值以区别名称(DN)表示。FortiGate也可以使用备用标识符,如Subject Alternative Name字段中显示,其值可以是网络ID或电子邮件地址。FortiGate可以使用Subject Key Identifier和Authority Key Identifier值来确定证书的签发人(在签发人字段中标识)与证书之间的关系。
FortiGate支持X.509v3证书标准,这是最常见的证书标准。
FortiGate使用数字证书来增强多个领域的安全性。
FortiGate使用数字证书进行检查,主要是出境或入境流量检查。如果FortiGate信任证书,它允许连接。但如果FortiGate不信任该证书,它可能会阻止连接。如何配置FortiGate决定了行为;但是,正在使用的其他策略也可能影响FortiGate是接受还是拒绝连接尝试。在允许个人或设备与其保护的实体建立完全连接之前,FortiGate还可以检查证书来识别人员和设备(在网络和互联网上)。
FortiGate使用数字证书来加强隐私保护。证书及其相关的私钥确保FortiGate可以与其他服务(如FortiGuard)或网络浏览器或网络服务器建立私有SSL连接。
FortiGate也使用证书进行身份验证。拥有已知和可信的CA颁发的证书的用户可以在FortiGate上进行身份验证,以访问网络或建立VPN连接。管理员用户可以使用证书作为双因子身份验证凭据登录FortiGate。
FortiGate在信任证书之前运行以下检查:
● 在FortiGate上查看本地证书吊销列表(CRL),验证证书是否已被CA吊销。
● FortiGate可以下载相关的CRL,并检查证书的序列号是否列在CRL上。如果证书被列出,则表示它已被撤销,不再受信任。
● FortiGate还支持在线证书状态协议(OCSP)。当FortiGate使用OCSP时,它与OCSP响应器(FortiAuthenticator充当OCSP响应器)交互,以检查证书是否仍然有效。
● 读取发行人字段中的值,以确定它是否具有相应的 CA 证书。没有CA证书,FortiGate就不会信任该证书。
● 验证当前日期是否在Valid From和Valid To值之间。如果不是,证书将失效。
● 验证证书上的签名。签名必须成功验证。
当CA生成数字签名时,它通过哈希函数运行证书的内容,生成哈希结果,这是数据的数学表示。这个哈希结果被称为原始哈希结果。CA使用其私钥对原始哈希结果进行签名。经过签名的哈希结果就是数字签名。要验证证书或任何签名数据,必须验证数字签名和哈希结果。
在验证证书时,FortiGate通过哈希函数运行证书,产生新的哈希结果。FortiGate必须使用与CA用于创建数字签名相同的哈希函数或哈希算法。证书中标识了哈希算法。然后,FortiGate使用CA公钥和CA用于签署哈希结果的相同不对称算法来验证数字签名。这个过程会验证签名。如果密钥无法恢复已签名的哈希结果,则签名验证失败。如果验证成功,则证明CA的私钥签署了证书。在验证过程的第三个也是最后一个部分,FortiGate将新的哈希结果与原始哈希结果进行比较。如果两个值相同,则确认证书的完整性。如果两个哈希结果不同,那么FortiGate的证书版本与CA签署的证书版本不同,数据完整性失败。
有时,加密和解密这两个术语被用来描述数字签名过程,但实际上语言更细致入微。术语签名和验证更准确地描述了数字签名过程,因为数字签名的目的与加密的目的不同。虽然加密的目的是混淆输入数据,使其无法读取,但数字签名的目的是识别签名人,验证数据的完整性,有时还将数据与签名人密不可分地绑定。
FortiGate使用SSL来确保在与服务器(如FortiGuard)和客户端(如Web浏览器)连接时,数据保持隐私。SSL的另一个特点是FortiGate可以使用它来识别使用证书的一方或双方。SSL使用对称和不对称加密在两点之间建立安全会话。
为了理解FortiGate如何保护私有会话,理解SSL握手的高级过程是有益的。
对于对称加密,相同的密钥用于加密和解密流量。这个过程需要更少的计算资源,并且比不对称加密更快。然而,一个缺点是要求以安全的方式在参与设备之间共享密钥。当FortiGate在自己和另一台设备之间建立SSL会话时,它必须共享对称密钥(或者更确切地说,生成它所需的值——通常是你配置的密码),以便数据可以由一方加密,由另一方发送和解密。
不对称加密使用一对密钥:一个密钥执行一个功能,另一个密钥执行相反的功能。例如,当FortiGate连接到web服务器时,它使用Web服务器公钥来加密一个被称为premaster secret的字符串。web服务器私钥用于解密预主密钥。
通过展示理解和配置完整SSL检查和证书检查的能力,你将能够在你的网络中实施这些SSL检查解决方案之一。
在上图显示的示例中,Bob 使用合法 CA 签发的证书连接到一个站点。由于CA是经批准的CA,CA验证证书位于Bob的证书存储中,Bob的浏览器能够与example.com网站建立SSL会话。然而,Bob不知道,example.com网站感染了病毒。病毒被加密掩盖,在未被发现的FortiGate中通过,并进入Bob的电脑。由于未启用完整SSL检查,该病毒能够突破安全性。
你可以使用完整SSL检查,也称为深度检查,来检查加密的会话。
有两种SSL检查模式:SSL证书检查和完整SSL检查。
使用SSL证书检查时,FortiGate不会解密流量。在SSL握手开始时交换hello消息时,FortiGate会解析客户端Hello的服务器名称指示(SNI),这是TLS协议的扩展。SNI告诉FortiGate SSL服务器的主机名,该主机名根据返回的服务器证书中的CN或SAN字段进行验证。如果没有交换SNI,那么FortiGate将通过服务器中的Subject字段或SAN字段中的值来识别服务器。
首先,FortiGate尝试从SNI字段中获取URL。SNI字段是一个TLS扩展,其中包含用户正在连接的完整URL。大多数现代浏览器都支持它。如果SNI字段不存在(因为网络客户端可能不支持它),FortiGate会继续检查服务器数字证书,以获取有关URL或域的信息。
你可以使用SSL证书检查模式应用的唯一安全功能是web过滤和应用控制。SSL证书检查允许FortiGate识别访问的网站或使用的应用程序,并将其分类。因此,你可以使用它来确保HTTPS协议不会被用作使用web过滤访问你阻止的网站的变通办法。
请注意,虽然提供了一定程度的安全性,但证书检查不允许FortiGate检查加密数据流。
你可以配置完整SSL检查来检查所有数据包内容,包括有效负载。FortiGate通过代理SSL连接来执行此检查。两个SSL会话是建立客户端到FortiGate和FortiGate到服务器。两个既定会话允许FortiGate使用自己的密钥加密和解密数据包,这允许FortiGate全面检查加密数据包中的所有数据。
为什么我们要用深度检查?
在电子商务会话期间,你可能会下载包含病毒的文件,或者你可能会收到一封带有看似无害下载的网络钓鱼电子邮件,当点击该下载时,会打开一个加密会话到命令和控制(C&C)服务器,并在你的机器上安装恶意软件。这些攻击可能会绕过你网络上的安全措施,因为会话是加密的。
当你使用深度检查时,FortiGate会冒充原始SSL会话的接收者,然后解密和检查内容,以找到威胁并阻止它们。然后,它重新加密内容,并将其发送给真正的收件人。深度检查可以防止使用HTTPS和其他常用SSL加密协议(如SMTPS、POP3S、IMAPS和FTPS)的攻击。
FortiGate可以对入站流量进行SSL/SSH检查。通常,这是由本地用户发起的流量,去往互联网上的web服务器。FortiGate保护用户免受来自外部服务器的流量的侵害。
相反,你可以使用FortiGate来保护你的公司服务器。通常,你将保护公司网络服务器免受外界的侵害。为此,FortiGate充当代理服务器,并向互联网用户展示服务器证书。
在FortiGate上,你可以选择应用于防火墙策略级别的检查模式。三个预定义的SSL/SSH检查配置文件可用,对应于最常见的用例。
创建新防火墙策略时,默认应用的配置文件是不言自明的no-inspection配置文件。其他可用的预定义配置文件包括certificate-inspection和deep-inspection,它们对出站流量应用完整SSL检查。
如果你为入站流量定义检查配置文件或为出站检查配置文件使用一些特定选项,你可以调整custom-deep-inspection配置文件或创建自己的配置文件。
预定义的certificate-inspection和deep-inspection配置文件为只读配置文件。如果需要调整配置文件参数,可以使用预定义的custom-deep-inspection配置文件,也可以新建自定义的配置文件。
当你定义自定义SSL/SSH配置文件时,可以配置多个客户端连接多个服务器对出站流量启用SSL检测,也可以配置保护SSL服务器对入站流量启用SSL检测。
你可以选择用于FortiGate和目的地之间的流量重新加密的CA证书。默认情况下,FortiGate使用预加载的Fortinet_CA_SSL证书。
你还可以根据某些证书参数或状态指定FortiGate采取的操作。例如,你可以定义是否允许或阻止不受信任或被阻止的证书的流量。
客户端hello是客户端在TLS/SSL会话设置序列中发送给服务器的第一条消息。它通常包含客户端支持的密码和扩展。
大多数在线连接都经过TLS/SSL协议的加密和保护。不幸的是,最初的“hello”数据包没有加密,这意味着一些敏感信息以纯文本形式发送,包括服务器名称指示(SNI);因此中介可以识别客户端打算浏览哪个服务器。加密的客户端Hello(ECH)使用公钥基础设施(PKI)加密,并使用服务器公钥加密整个“客户端Hello”消息。只有拥有私钥的服务器才能解密消息。
TLS连接可以使用ECH。当FortiGate执行深度检查时,它总是从ECH中剥离ECH扩展,有效地迫使客户端浏览器使用非ECH TLS连接。DNS过滤器可用于从DNS over HTTPS(DoH)响应中剥离ECH信息,迫使浏览器不使用ECH进行TLS连接。浏览器依赖于来自DoH的ECH信息来支持ECH的TLS连接。
Fortinet可以阻止或允许使用ECH的连接。
例如,在启用了HTTP严格传输安全(HSTS)的网站上执行SSL检查可能会导致流量问题。请记住,FortiGate检查加密流量的唯一方法是拦截来自服务器的证书并生成一个临时证书。在FortiGate出示临时SSL证书后,使用HSTS的浏览器拒绝继续。
保护隐私的法律可能是绕过SSL检查的另一个原因。例如,在某些国家,检查SSL银行相关流量是非法的。为站点配置豁免比为每个银行设置防火墙策略更简单。你可以根据网站网络类别(如金融和银行)免除网站,或者你可以根据其地址免除网站。或者,你可以启用信誉良好的网站,该网站将FortiGuard维护的信誉良好的域名允许列表排除在完整SSL检查之外。此列表会定期更新并通过FortiGuard下载到FortiGate设备。
预定义的deep-inspection和custom-deep-inspection配置文件排除了一些网络类别(金融和银行、健康和健康)以及一些FQDN地址,如google-play、skype或verisign。使用custom-deep-inspection配置文件时,你可以从此列表中添加或删除站点。
● 过期:证书已过期。
● 被回收:证书已根据CRL或OCSP信息被回收。
● 验证超时:由于通信超时,证书无法验证。
● 验证失败:FortiGate无法验证证书,或者证书尚未有效。
当证书因上述任何原因而失败时,你可以配置以下任何操作:
● 保持不受信任&允许:FortiGate允许网站,并让浏览器决定要采取的行动。FortiGate将证书视为不受信任。
● 阻止:FortiGate阻止网站的内容。
● 信任&允许:FortiGate允许网站,并将证书视为可信的。
证书检查功能可以分为两个主要检查,这些检查是并行完成的:
● FortiGate 会检查证书是否因上图描述的四个原因中的任何原因而无效。
● FortiGate根据本地安装的CA证书和SSL服务器提供的证书执行证书链验证。
根据配置的操作和检查结果,FortiGate将证书显示为受信任(由Fortinet_CA_SSL签名)或不受信任(由Fortinet_CA_Untrusted签名),并允许或阻止内容。你还可以通过启用记录SSL异常日志选项来跟踪证书异常。
当你将未受信任的SSL证书设置设置为允许,并且FortiGate检测到未受信任的SSL证书时,FortiGate会生成一个由内置Fortinet_CA_Untrusted证书签署的临时证书。然后,FortiGate将临时证书发送到浏览器,浏览器向用户显示警告,表明该网站未受信任。
如果FortiGate收到受信任的SSL证书,那么它将生成一个由内置Fortinet_CA_SSL证书签署的临时证书,并将其发送到浏览器。如果浏览器信任Fortinet_CA_SSL证书,浏览器将完成SSL握手。否则,浏览器还会显示一条警告消息,告知用户该网站未受信任。换句话说,要使此功能按预期工作,你必须将Fortinet_CA_SSL证书导入到浏览器的可信根CA证书存储中。Fortinet_CA_Untrusted证书不得导入。
当设置设置为阻断时,FortiGate收到未受信任的SSL证书,FortiGate会完全阻断连接,用户无法继续。
当设置设置为忽略时,无论SSL证书的状态是受信任还是未受信任,FortiGate都会向浏览器发送一个由Fortinet_CA_SSL证书签名的临时证书。然后FortiGate继续建立SSL会话。
默认情况下,FortiGate使用自签名CA证书进行SSL完带检查所需的重新加密。由于相应的CA没有预填充在客户端设备证书存储中,用户可能会看到受完整SSL检查保护的流量的证书警告。
为了避免警告,你可以在用户设备上安装Fortinet_CA_SSL证书作为受信任的CA。你可以将其作为所有公司计算机的部署过程的一部分进行安装。或者,在FortiGate上,你可以安装一个CA证书,用于流量重新加密,该证书由你的公司CA签署。此证书已被你公司设备识别为有效。
SSL完整检查后用于重新加密流量的证书必须遵循一些具体要求,你将在本课中学习这些要求。
为了执行完整SSL检查,FortiGate充当网络代理,并且必须充当CA才能重新加密流量。FortiGate内部CA每次需要重新加密新流量时都必须生成SSL私钥和证书。密钥对和证书会立即生成,因此用户与网络服务器的连接不会延迟。
尽管从用户的角度来看,用户浏览器似乎连接到了网络服务器,但实际上浏览器连接到了FortiGate。要执行此代理角色,并生成与访问的服务器相对应的证书,CA证书必须允许生成新证书。要实现这一点,它必须具有以下扩展:cA设置为True,keyUsage扩展设置为keyCertSign。
cA=True表示该证书为CA证书。keyUsage=keyCertSign表示允许与私钥对应的证书签署证书。有关更多信息,请参阅RFC 5280第4.2.1.9节基本约束。
所有FortiGate设备都带有自签名的Fortinet_CA_SSL证书,你可以使用该证书进行完整SSL检查。如果你的公司有内部CA,你可以请求CA管理员为你的FortiGate设备签发证书。然后,FortiGate设备充当从属CA。
如果你使用Fortinet_CA_SSL证书或你公司CA签发的证书来信任FortiGate并在没有警告的情况下接受重新加密的SSL会话,你必须将使用的根CA证书导入到你的客户端设备。
越来越多的应用程序使用SSL在互联网上安全地交换数据。虽然本课的大部分内容都围绕着SSL检查的操作和对浏览器的影响,但同样适用于使用SSL的其他应用程序。毕竟,浏览器只是另一个在你的设备上使用SSL的应用程序。
出于这个原因,当你在FortiGate上启用SSL检查时,你需要考虑对基于SSL的应用程序的潜在影响。例如,当你启用完整SSL检查时,Microsoft Outlook 365 for Windows会报告证书错误,因为FortiGate使用的CA证书不受信任。为了解决这个问题,你可以将CA证书作为受信任的根证书颁发机构导入到你的Windows证书存储中。由于Microsoft Outlook 365信任Windows证书存储中的证书,因此应用程序将不再报告证书错误。另一种选择是免除你的Microsoft Exchange服务器地址的SSL检查。虽然这可以防止证书错误,但你不再对电子邮件流量执行SSL检查。
还有其他应用程序具有内置的额外安全检查,可以防止中间人攻击,例如HSTS。例如,Dropbox使用证书固定来确保用户流量无法进行SSL检查。因此,当你在FortiGate上启用完整SSL检查时,你的Dropbox客户端会停止工作,并报告它无法建立安全连接。就Dropbox而言,解决连接错误的唯一方法是免除Dropbox连接的域免于SSL检查。
此外,请记住,SSL可用于不同的协议,而不仅仅是HTTP。其他基于SSL的协议有:FTPS、POP3S、SMTPS、STARTTLS、LDAPS、SIP TLS等。如果你的应用程序使用这些基于SSL的协议中的任何一种,并且你已经打开了SSL检查以及检查这些协议的安全配置文件,那么应用程序可能会报告SSL或证书错误。解决方案取决于应用程序采用的安全措施。
替换流量证书可能会导致问题。一些软件和服务器对允许使用的证书有特定的限制。
HSTS是一种安全功能,旨在通过确保访问服务器资源时显示的任何证书均由特定CA签名来检测MITM SSL攻击。
如果浏览器检测到任何其他CA,它只会拒绝继续SSL握手,并阻止访问网站。如果你使用的是Chrome浏览器,你将看到隐私错误消息“您的连接不是私人的”,如上图所示。
当替换流量证书会导致问题并阻止用户访问某些网站时,可用的解决方案是有限的。你可以根据可以采取行动的级别选择以下变通办法之一。
在FortiGate级别,你可以免除受影响的网站的全面SSL检查,并改用证书检查。如果你可以在浏览器级别采取行动,你可以为每个网站或全局禁用HSTS验证(参考浏览器手册了解该过程)。
如果你想仅对少数站点使用证书检查而不是深度检查,则在定义策略时必须谨慎。它必须足够限制,只匹配你希望允许且不支持深度检查的站点。否则,你可能会允许意外站点仅通过证书检查而不是深度检查。
要对流经FortiGate设备的流量执行SSL检查,你必须使用防火墙策略允许流量,并对策略应用SSL检查配置文件。请注意,单独使用SSL检查配置文件并不能触发安全检查。你必须将其与其他安全配置文件相结合,如反病毒、Web过滤、应用控制或IPS。
默认情况下,防火墙策略使用no-inspection SSL配置文件进行设置。因此,任何加密的流量都未经检查。例如,使用无检查配置文件,FortiGate无法对HTTPS流量执行任何网络过滤。要允许对HTTPS流量进行网络过滤、DNS过滤或应用控制,你必须选择启用证书检查或深度检查的SSL检查配置文件。对于反病毒或IPS控制,你应该使用深度检查配置文件。
你可以在GUI上的SSL检查配置文件选择菜单附近看到一个警告标志。每次选择带有深度检查的SSL检查配置文件时,你都会看到此警告。它用于提醒你,当此策略允许流量时,可能会出现在用户浏览器上的证书警告。如果你将鼠标悬停在警告标志上,你可以看到此消息:“此SSL配置文件使用完整SSL检查。除非证书安装在浏览器中,否则最终用户可能会看到证书警告。”
如果你选择启用了完整SSL检查的配置文件,则会出现解密流量镜像选项。如果你希望FortiGate将解密的SSL流量副本发送到接口,请启用此选项。它适用于基于流和基于代理的检查。当你启用解密流量镜像时,FortiGate会显示一个包含此功能使用条款的窗口。用户必须先同意条款才能使用该功能。你将以与入站或出站流量检查相同的方式将SSL配置文件应用于防火墙策略。当FortiGate设备重新加密流量时,是应用的SSL配置文件指定正在使用的证书。
使用FortiGate自签名CA进行完整SSL检查时,每次连接到HTTPS站点时,你的浏览器可能会显示证书警告。这是因为浏览器正在接收由FortiGate签署的证书,FortiGate是它不知道和不信任的CA。这不是FortiGate的限制,而是数字证书如何设计工作的结果。
有两种方法可以避免这些警告:
● 第一个选项是下载默认的FortiGate证书进行SSL代理检查,并将其作为受信任的根权限安装在所有工作站上。
● 第二个选项是从私有CA生成一个新的SSL代理证书。在这种情况下,私有CA证书仍然必须导入到所有浏览器中。
如果你使用由下属CA签名的SSL证书,你必须确保整个证书链——从SSL证书到根CA证书都安装在FortiGate上。还要验证根CA是否已安装在所有客户端浏览器上。这是出于信任目的所必需的。由于FortiGate在SSL握手期间将证书链发送到浏览器,因此你不必将中间CA证书导入浏览器。
如果你信任FortiGate设备,并希望保留自签名证书以建立SSL会话,你可以接受警告并建立连接。当你接受警告时,你的浏览器将FortiGate自签名证书导入其证书存储。因此,下次你连接到此FortiGate设备时,您的浏览器已经信任显示的证书。
你也可以将FortiGate配置为使用Fortinet_GUI_Server证书,并将FortiGate自签名CA证书(Fortinet_CA_SSL)添加到需要连接FortiGate设备的任何计算机的本地证书存储中。对于FortiGate GUl接口的后续连接,这些设备信任该证书并允许连接而不发出警告。
对于管理自己CA的公司来说,另一个选择是为其每个FortiGate设备生成证书,并使用它们来保护HTTPS连接。
默认情况下,FortiGate使用自签名证书,该证书不被浏览器识别为受信任证书。你也可以选择Fortinet_GUI_Server证书,该证书由Fortinet_CA_SSL签名。使用此证书,为了避免浏览器对HTTPS访问FortiGate GUI的警告,你必须将Fortinet_CA_SSL证书导入到管理设备中。
你可以从系统菜单下的FortiGate证书商店获取它。下载后,FortiGate会生成一个CER文件,你可以根据需要导入到任何设备中。
从FortiGate下载CA证书后,你可以将其导入到任何网络浏览器或操作系统中。并非所有浏览器都使用相同的证书存储库。例如,Firefox使用自己的存储库,而Internet Explorer和Chrome将证书存储在全系统存储库中。为了防止证书警告,你必须将SSL证书导入为受信任的根CA。
导入证书时,请确保将其保存到根权限的证书存储中。
上图的示例显示了你用来将证书导入到Firefox浏览器的菜单。
如果你的公司有私有签名CA或由证书颁发机构签名的签名CA,你可以将对应的证书导入FortiGate设备,如上图所示。
请注意,你可以通过连接到SCEP服务器或以文件的形式导入证书。SCEP代表简单证书注册协议,它是一种流行且广泛可用的证书注册协议。
如果你的公司管理自己的证书颁发机构,你可以为FortiGate GUl或SSL访问生成证书。你还可以生成用于SSL-VPN隧道的证书。
FortiGate提供了三种导入私人证书的选项。你可以首先生成证书签名请求(CSR),并将其提交给CA以生成证书。通过此过程,在FortiGate生成CSR时,密钥文件会自动生成并存储在FortiGate上。稍后,你只导入CA提供的证书文件(.CER)。另一个选项是将证书文件和关联密钥导入FortiGate证书存储。或者,你可以加载一个PKCS#12证书文件,该文件被标识为.PFX文件。它包含证书和相关的私钥。
由于无法召回证书,证书撤销列表(CRL)详细介绍了由有效CA签署的不再可信的证书。证书可能会因为许多原因被撤销,例如证书签发错误,或者有效证书的私钥被泄露。
CA管理员发布CRL并定期更新它们。你可以将CRL作为CA管理员提供的文件加载到FortiGate设备中,或指导FortiGate连接到CRL存储库并加载相应的列表。
保持撤销证书列表最新的建议方法是通过以下可用协议之一加载它们:HTTP、LDAP或SCEP。或者,你可以通过导入CRL文件将CRL列表加载到FortiGate证书存储中。
你可以通过编辑证书并导航到CRL端点信息部分来获取与证书关联的CRL分发点。
请注意,FortiGate GUI证书菜单上的CRL部分只有在你至少加载了一个CRL后才可见。
查看导入到FortiGate设备的证书的中心位置是系统菜单的证书部分中可用的证书列表。
在这个表格中,你可以看到:
● CRL部分,其中包含所有加载的CRL。
● 本地CA证书部分,其中包含FortiGate签名CA证书。默认情况下,它包含Fortinet_CA_SSL和Fortinet_CA_untrusted证书。如果你从公司导入签名CA证书,它将出现在本节中。
● 本地证书部分,其中包含设备和用户证书。在上图显示的示例中,你可以看到用户证书Ana和设备证书Local-FortiGate。对于两者,发行人都是ACME,即本例中的公司私人CA。
● 远程CA证书部分,这是FortiGate显示所有未签署CA证书的导入CA证书的部分。
注意:
● 只有在你至少加载了一个CRL后,CRL部分才会显示。
● FortiGate仅在将相应的CA证书导入到证书存储中时才会显示CRL。
● FortiGate在本地证书部分显示证书签名请求(CSR),状态为待处理。
● 源列指示证书的来源,证书始终存在的工厂或管理员用户导入的证书的用户。
答案:A
答案:B
现在,你将回顾本课所涉及的目标。
通过掌握本课涵盖的目标,你了解了FortiGate如何使用证书,以及如何管理和处理网络中的证书。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
