Bu Blogda Ara

Active Directory - Fortigate - Fortigate CA sertifikasının bilgisayarlara AD grup politikası ile dağıtılması

Merhaba,

Fortigate firewall üzerinde "ssl deep inspection" özelliğini firewall kuralı içerisinde kullanabilmek ve böylece bilgisayar/sunucuların ssl internet trafiklerini analiz edebilmek için Fortigate'in CA sertifikasını domain ortamındaki tüm bilgisayar ve sunuculara active directory grup politikası ile dağıtılması gerekir. 

Aşağıdaki adımları sırayla takip edelim:

1) Fortigate firewall üzerinde aşağıdaki konumda yer alan CA sertifikasını indirelim:















Bu sertifikayı "SSL/SSH Inspection" profil ayarlarımız içinden de indirebiliriz:
















2) Bu sertifikayı AD sunucumuza kopyalayarak politika oluşturmaya başlayabiliriz. İlk önce ilgili OU üzerindeki "Create a GPO..." sekmesine tıklıyoruz:





3) Politika ayarlarına girerek, Computer Configuration --> Policies --> Windows Settings --> Security Settings --> Public Key Policies --> Trusted root certification authorities üzerine gelip "Import" seçiyoruz:


















Sunucumuza kopyaladığımız sertifika dosyasını seçip aşağıdaki adımları sırayla tamamlıyoruz:































4) Son adım olarak, AD sunucumuzda aşağıdaki komutu çalıştırıyoruz ve politikanın hemen devreye girmesini sağlıyoruz:












5) KONTROL:


Politikanın uygulandığı bir bilgisayarda mmc konsolu üzerinden sertifikanın yüklendiğini görebiliriz 

















Internet Explorer ve Google Chrome'un tüm sürümleri varsayılan olarak bu sertifika havuzundaki sertifikayı görerek https olan tüm sitelerde sertifika sorunu yaşanmaksızın bağlanacaktır (https://www.google.com.tr adresine girdiğimizde sertifika hatası vermeyecektir).

Mozilla Firefox'un 51 ve sonrası sürümlerinin bilgisayardaki windows sertifika havuzunu kullanabilmesi için aşağıdaki makalede yer alan işlemler yapılmalıdır:

Active Directory - Grup politikası ile "Mozilla Firefox'un Bilgisayarın Sertifika Deposunu kullanmasını sağlamak"

Daha eski Mozilla Firefox sürümlerinde ise sertifikanın elle tek tek yüklenmesi gerekecektir.

https://www.google.com.tr adresine girip sertifika ayarlarını incelediğimizde ssl deep inspection kuralımızın başarılı olduğunu göreceğiz:

























Umarım faydalı olmuştur.

Murat TAŞ

Hiç yorum yok:

Yorum Gönder