inicie sesión a través del certificado PKI

Mila y César

Descripción

Este artículo describe cómo iniciar sesión con certificados sin necesidad de usar nombre de usuario/contraseña.

En el siguiente ejemplo, se usa una extensión de FortiAuthenticator como una autoridad certificadora (CA) local, pero se puede usar cualquier otra configuración de CA para generar los certificados de cliente.

El mismo proceso se aplica para FortiAnalyzer.

Solución

1) Primero vaya a FortiAuthenticator que existe en FortiManager y actívelo.

Ir Extensión de gestión -> fortiAuthenticator.

2) Ir a Gestión de certificados -> Autoridades de certificación -> CA locales.

Será necesario crear un certificado CA como se muestra a continuación.

3) Exportarlo y guardarlo en la PC local.

4) Cree un certificado de usuario para usar en el navegador más tarde.

Ir Gestión de certificados -> Entidades finales -> Usuarios.

5) Esta vez deberá exportar el certificado y la clave y luego descargarlo a la PC local.

6) Ir a Configuración del sistema -> certificado -> certificado CA e importe solo el certificado de CA.

7) Deberá crear un usuario administrativo y asegurarse de lo siguiente.

– Ir Configuración del sistema -> Admin -> Administrador.
– Seleccione ‘Crear nuevo’. Se abre el cuadro de diálogo Nuevo administrador.
– Seleccione PKI para el tipo de administrador.
– Ingrese un comentario en el campo Asunto, que debe ser el mismo en el certificado o es posible obtenerlo de los detalles del certificado de usuario de FortiAuthenticator.
– Seleccione el certificado CA de la lista desplegable en el campo CA.
– Seleccione ‘OK’ para crear la nueva cuenta de administrador.

8) Ahora es necesario insertar el certificado de usuario en el navegador, con los pasos a continuación, tenga en cuenta que al exportar el certificado de usuario, se exporta con una clave en 5), que se utilizará al insertarlo en el navegador como se muestra abajo.

Vaya a la configuración avanzada del navegador, busque el certificado y luego agréguelo a la lista.

Aquí, la contraseña utilizada será la misma que en el paso de exportación del certificado.

9) Es necesario habilitar el servicio PKI a través de SSH, que no se ve afectado por este proceso, por lo que en caso de que sea necesario revertir, simplemente desactívelo con los mismos pasos.

# sistema de configuración global
establecer clt-cert-req habilitar
final

10) Intente iniciar sesión en FortiManager y será necesario obtener el siguiente mensaje, simplemente seleccione el nombre y podrá continuar.

11) Ahora es posible iniciar sesión con el usuario administrador creado.

Finalmente, hay 2 errores esperados:
En primer lugar, el certificado de usuario no válido no es válido, lo que generalmente se debe a que los parámetros utilizados cuando se creó el usuario administrativo en 7) son incorrectos.

En segundo lugar, la siguiente página de error, que generalmente significa que el certificado no se importa correctamente al navegador o que el certificado debe volver a crearse correctamente.

Sección de solución de problemas.

# diagnosticar la autenticación de la aplicación de depuración 255
# diagnosticar la activación de la marca de tiempo de depuración
# diagnosticar depuración habilitar

# diagnosticar la aplicación de depuración fnbam 255
# diagnosticar la activación de la marca de tiempo de depuración
# diagnosticar depuración habilitar

Como se ve en la imagen a continuación, me indica que el asunto no coincide, luego copie el asunto del certificado y corríjalo al usuario administrativo como lo hicimos en el paso 7).