Menu Close

Certificate Authority och betrodda certifikat

I dessa tider är det väldigt ofta som majoriteten av trafiken i våra nätverk är krypterad. För att kunna skydda oss mot hot på ett effektivt sätt så behövs, förutom utbildning till användarna, ett sätt att inspektera denna. För att göra det så behöver vi bryta upp kommunikationen mellan klienten och den applikation som skickar sin data krypterat för att kunna titta i paketen. Det man utför brukar man slarvigt kalla för en “Man in the middle” där vi med vår brandvägg utger oss för att våra mottagare för klientens trafik för att sedan packa upp, inspektera, packa ner igen för att slutligen skicka den vidare till målet.

För att åstadkomma detta så behöver våra klienter lita på vår brandvägg och detta åstadkommer vi med ett betrott certifikat. I denna artikel går jag igenom hur man konfigurerar sin FortiAuthenticator som betrodd Certificate Authority, CA, och hur vi installerar certifikaten på rätt ställe för att kunna inspektera trafiken.

Konfigurera FortiAuthenticator som CA

Börja med att logga in på din authenticator och klicka dig in under Certificate Management>Certificate Authorities>Local CAs

Här inne väljer vi sedan att skapa oss ett nytt certfikat med följande inställningar:

För att våra klienter ska lita på certifikat utfärdade från denna CA så behöver vi installera detta certifikat på alla klienter som vi ska inspektera trafik från. I denna post visar jag hur man går tillväga på MacOS och webbläsaren Firefox.

Börja med att ladda ner certifikatet och installera detta i din certificate store. När du har importerat certifikatet så dubbelklickar du på detta och expanderar Trust fliken. Välj sedan att lita på detta certifikat.

Installera certifikat i Fortigate för att få ett betrott admin/vpn certifikat

För att kunna köra DPI behöver vi ett certifikat på vår Fortigate från en CA som våra klienter litar på. I detta fall litar min Macbook på FortiAuthenticator så kommer att använda den för att skapa ett certifikat till Fortigaten så att den kan inspektera min trafik.

Skapa en Certificate Signing Request

Logga in i din Fortigate och sedan System>Certificates

Klicka sedan på och fyll i följande (Glöm ej att fylla i en e-post address vilket jag gjorde så jag fick göra om processen….):

Ladda sedan ner csr-filen från Fortigaten som vi precis skapade. Denna laddar vi sedan upp i vår Authenticator under Certificate Management > End Entities > Users och klicka på import.

Klicka OK och markera sedan certifikatet i listan följt utav Export Certificate.

Gå tillbaka till din Fortigate och importera certifikatet.

I listan bland certifikat hittar vi nu det nya certifikatet och det kan användas för att hantera tex webtrafik.

För att testa att min dator litar på certifikatet börjar jag med att använda detta certifikat för admin-gränssnittet för min Fortigate.

Under System > Settings så ändrar jag på följande vis:

För att få min webbläsare att lita på mitt certifikat följde jag denna guiden: https://support.mozilla.org/en-US/kb/setting-certificate-authorities-firefox och använde mig utav “enterprise” varianten.

Från guiden:

  1. Enter “about:config” in the address bar and continue to the list of preferences.
  2. Set the preference “security.enterprise_roots.enabled” to true.
  3. Restart Firefox.

När jag sedan besöker adressen, fw01.fortiknight.local, så litar min webbläsare på certifikat även om firefox varnar lite i smyg..