En sistemas FortiGate, uno de los problemas que puede surgir es la dificultad para importar y utilizar múltiples Listas de Revocación de Certificados (CRLs) provenientes del mismo emisor. Este tema es crucial porque afecta la gestión de la seguridad y la autenticidad de los certificados, lo que podría comprometer la integridad de las conexiones seguras. Este artículo proporcionará una guía clara sobre el comportamiento de FortiOS en este contexto, así como un diagnóstico y soluciones recomendadas.
Índice
Descripción del problema
Este artículo describe el comportamiento de FortiOS al intentar importar y utilizar diferentes CRLs del mismo emisor. La incompatibilidad en este proceso puede llevar a inconsistencias y errores en la gestión de certificados, dificultando la actualización de los mismos y afectando la seguridad del dispositivo.
Alcance
Este problema es relevante para todas las versiones de FortiOS, incluyendo v7.0.x, v7.2.x, v7.4.x y v7.6.x, específicamente en dispositivos FortiGate.
Diagnóstico paso a paso
Al importar tanto una CRL base como una delta, la interfaz gráfica de usuario de FortiGate solo mostrará la CRL base en el sistema bajo Certificados / CRL, ignorando la CRL delta. Esto indica que la funcionalidad requerida no está soportada. Para verificar el error mediante la línea de comandos, se puede intentar configurar ambas CRLs a pesar de que FortiOS no lo permite.
Ejemplo de configuración no funcional en CLI:
config vpn certificate crl
edit «CRL_1»
set range global
set http-url «http://testcrl.domain.de/certenroll/crltestca(1).crl«
next
edit «CRL_2»
set range global
set http-url «http://testcrl.domain.de/certenroll/crltestca(1)+.crl«
next
end
Solución recomendada
Importar o utilizar diferentes CRLs del mismo emisor no está soportado en las versiones actuales de FortiOS (v7.0.x, v7.2.x, v7.4.x y v7.6.x). Si se requiere utilizar CRLs de actualizaciones, se recomienda mantener una única CRL por emisor o trabajar con CRLs que provengan de emisores diferentes.
Comandos CLI utilizados
Para verificar las CRLs actuales y los posibles errores relacionados, los siguientes comandos pueden ser útiles:
diag debug application crl-update -1
diag debug enable
Al habilitar el modo de depuración para la actualización de CRLs, el daemon mostrará el siguiente error:
__http_recv()-407: save(CRL_2) vfid 0 failed: CRL with same issuer exists
crl_update_result()-247: HTTP result=10: CRL with same issuer exists
Buenas prácticas y recomendaciones
Para prevenir problemas en la gestión de CRLs, es recomendable:
- Usar una única CRL por emisor en todas las configuraciones.
- Realizar pruebas en un entorno controlado antes de implementar cambios en producción.
- Monitorear regularmente los logs de CRLs y realizar auditorías de certificados.
Notas adicionales
Recuerde que la estructura y la configuración de las CRLs pueden variar según las necesidades específicas de su entorno. Es importante actualizar y mantener la documentación del sistema y considerar las versiones de FortiOS al aplicar cualquier configuración o solución.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!