Este artículo aborda el manejo de certificados PKI en FortiGate, especialmente centrándose en los diferentes casos de uso para los cuales se utilizan estos certificados y la configuración necesaria para activarlos en características específicas. La correcta gestión de los certificados es fundamental para mantener la seguridad y la confianza en las conexiones VPN y otras funcionalidades del dispositivo. A lo largo del artículo, se proporcionarán ejemplos prácticos y una guía paso a paso para resolver problemas relacionados con la certificación.
Índice
Descripción del problema
Los certificados PKI son esenciales para múltiples funciones de seguridad en FortiGate, como autenticaciones de VPN y inspecciones de SSL. Comprender cómo se configuran y aplican estos certificados es crucial para solucionar problemas de autenticación y asegurarse de que se utilicen los certificados deseados en cada contexto. Este artículo explora la configuración de certificados y su importancia para la correcta operación de las funciones de FortiGate.
Alcance
FortiGate, PKI.
Diagnóstico paso a paso
Es fundamental realizar un diagnóstico adecuado de los certificados PKI aplicados en FortiGate para asegurar que se utilicen correctamente. A continuación, se describen dos categorías principales de casos de uso: ‘casos de uso de VPN’ y ‘casos de uso no VPN’.
1. Casos de uso VPN
Esta sección cubre las configuraciones de certificados para los casos de uso básicos de VPN, como la autenticación de VPN IPSec y SSL VPN.
1.1. VPN IPSec con autenticación por certificado
La configuración ‘set certificate’ en la interfaz IPSec asigna el certificado que usará el FortiGate para autenticarse ante el par VPN durante el establecimiento de la sesión IPSec.
config vpn ipsec phase1-interface edit "S2S-VPN-PKI" ... set authmethod signature set certificate "ACME-FGT-VPN-certificate" <----- Certificado usado por este FortiGate para autenticar al par VPN. set peer "PKI-S2S_peer" <----- Aceptar certificados del par si está firmado por este certificado CA.
1.2. Acceso remoto a SSL VPN
La configuración ‘set servercert’ en la configuración global de VPN SSL asigna el certificado que usará FortiGate como certificado de servidor para la configuración de SSL VPN con el cliente de acceso remoto.
config vpn ssl settings set servercert "ACME-FGT-SSL-Server-certificate" <----- Este es el certificado del servidor que se usará para conexiones SSL VPN desde los clientes.
2. Casos de uso no VPN
Esta sección abarca diversos casos de autenticación donde el tipo y orden de las configuraciones son importantes para asegurar que se utilice el certificado adecuado para cada función. Es necesario entender la diferencia entre las configuraciones ‘auth-ca-cert’ y ‘auth-cert’ en ‘config user setting’.
auth-ca-cert vs auth-cert:
- ‘auth-ca-cert’ es el certificado CA que se usa para firmar las sesiones inspeccionadas (man-in-the-middle) por FortiGate, mientras que ‘auth-cert’ se usará como certificado de servidor para sesiones no firmantes.
- El nombre de host se obtiene de cliente hello y se usará para resignar el certificado por ‘auth-ca-cert’. Si no se presenta el nombre de host, se usará la dirección IP de destino.
config user setting set auth-cert "ACME-Cert" <----- Este certificado se utilizará como certificado de servidor para sesiones no firmantes. set auth-ca-cert "ACME-CA-Cert" <----- Este certificado CA se utilizará para resignar todos los certificados de servidor. set auth-secure-http enable end
Cuando ‘auth-ca-cert’ está habilitado en el FortiGate, todos los certificados de servidor serán resignados por esta CA. Por lo tanto, si se requiere usar un solo certificado CA común para todos los casos de uso de autenticación, se debe habilitar ‘auth-ca-cert’ a nivel global en ‘config user setting’. Esto sobrescribirá cualquier otra configuración de ‘auth-cert’ en FortiGate y tendrá la máxima prioridad en cuanto a qué certificado de servidor presentar a los usuarios finales.
Solución recomendada
La comprensión de los casos de uso y la configuración de los certificados PKI en FortiGate es clave para solucionar problemas relacionados con la certificación. Aquí se presenta un resumen de diferentes configuraciones que se deben aplicar:
- Habilitar ‘auth-ca-cert’ cuando sea necesario usar un único CA para múltiples funciones.
- Establecer los certificados adecuados en las configuraciones de VPN y políticas de firewall.
Comandos CLI utilizados
diagnose debug application authd -1 <----- Para depuraciones generales de autenticación. diagnose debug application https -1 <----- Depuraciones HTTPS, muestra el certificado del servidor usado para la interfaz de administración. diagnose debug application ike -1 <----- Depuraciones IKEv1/IKEv2/IPSec VPN, muestra los certificados usados para autenticación. diagnose debug application sslvpn -1 <----- Depuraciones SSL VPN, muestra el certificado usado para los handshakes SSL. execute log display <----- Revisa logs adicionales para identificar problemas de certificados.
Buenas prácticas y recomendaciones
Para mantener un entorno seguro y eficiente en la gestión de certificados PKI en FortiGate, se recomienda:
- Realizar auditorías periódicas de las configuraciones de certificados.
- Documentar cambios en los certificados y sus aplicaciones.
- Formar al personal sobre la importancia y el manejo de certificados PKI.
Notas adicionales
Es crucial estar al tanto de las actualizaciones y mejores prácticas proporcionadas por Fortinet para garantizar la seguridad de las operaciones de su dispositivo FortiGate.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!