Este artículo aborda un problema común en sistemas FortiGate, donde el servidor EMS no puede ser autorizado a pesar de que el certificado CA correcto está presente en el firewall. Comprender esta cuestión es crucial, ya que afecta la comunicación y la eficacia de la gestión de seguridad de la red. Aquí, proporcionaremos un diagnóstico paso a paso para resolver esta incidencia, junto con comandos específicos y buenas prácticas a seguir.
Índice
Descripción del problema
Cuando se utiliza un certificado personalizado en el servidor EMS firmado por una CA (Autoridad Certificadora) personalizada, existe la probabilidad de que se requiera un certificado intermedio como parte de la cadena de certificados. Este certificado intermedio también debe estar presente en el firewall para que se autorice correctamente el servidor EMS.
Alcance
Este artículo es aplicable a versiones de FortiOS 7.x.x y posteriores.
Diagnóstico paso a paso
Es posible verificar la presencia de certificados intermedios utilizando OpenSSL. Esta herramienta permite comprobar si el certificado CA coincide con el certificado importado en el servidor EMS, lo que asegurará que no falten certificados en la cadena de confianza.
Puedes descargar el binario de OpenSSL desde el siguiente enlace: Distribuciones binarias de OpenSSL para Microsoft Windows.
El comando que debes ejecutar es el siguiente:
openssl verify -CAfile ca_cert.cer ems_cert.cer
Reemplaza los nombres de archivo con el certificado CA y el certificado EMS, respectivamente.
A continuación, se muestra un ejemplo de la salida que indica que falta un certificado en la cadena:
Solución recomendada
Una vez que se encuentra un certificado CA intermedio, puedes verificarlo utilizando el siguiente comando:
openssl verify -verbose -CAfile ca_cert.cer -untrusted intermediate.cer ems_cert.cer
La siguiente es la salida de este comando cuando la cadena completa está presente:
Comandos CLI utilizados
Los comandos CLI utilizados para verificar los certificados son:
- openssl verify -CAfile ca_cert.cer ems_cert.cer: Verifica si el certificado EMS está firmado por la CA especificada.
- openssl verify -verbose -CAfile ca_cert.cer -untrusted intermediate.cer ems_cert.cer: Verifica la cadena completa de certificados, incluyendo certificados intermedios.
Buenas prácticas y recomendaciones
Para evitar problemas similares en el futuro, se recomienda:
- Asegurarte de que todos los certificados CA y los intermedios necesarios estén correctamente instalados y configurados en el firewall y el servidor EMS.
- Realizar auditorías periódicas de los certificados utilizados en tu infraestructura de red.
- Documentar la cadena de certificados para referencias futuras y para facilitar la resolución de problemas.
Notas adicionales
Recuerda que la correcta configuración de los certificados no solo mejora la seguridad, sino que también optimiza la comunicación entre los dispositivos de tu red. Mantén actualizado el software y los certificados para mitigar riesgos de seguridad.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!