Este artículo aborda un problema común donde, a pesar de importar el certificado Fortinet_GUI_Server en el almacén de certificados raíz de confianza de Windows, la página de inicio de sesión de FortiGate sigue mostrando una advertencia de conexión ‘No segura’. Entender y resolver este problema es crucial para garantizar la seguridad y confianza en las comunicaciones a través de FortiGate. A continuación, se ofrece una guía paso a paso para solucionar este error y mejorar la configuración de seguridad.
Índice
Descripción del problema
El certificado HTTPS predeterminado para FortiGate es generalmente Fortinet_GUI_Server. Sin embargo, al acceder a FortiGate a través de HTTPS, es posible que el navegador muestre un certificado autogenerado en lugar del certificado configurado. Esto puede generar confusión y preocupación sobre la seguridad de la conexión.
A pesar de importar correctamente el certificado Fortinet_GUI_Server en el almacén de CA raíz de Windows, se sigue viendo el aviso de ‘No seguro’ en la página de inicio de sesión del administrador de FortiGate.
Un ejemplo de esto se muestra en la imagen siguiente:

Alcance
Este artículo es aplicable a los dispositivos FortiGate.
Diagnóstico paso a paso
Las versiones anteriores de FortiGate a la v7.4.4 tenían el certificado predeterminado configurado como ‘self_sign’ en la configuración de acceso a la GUI del administrador. Este tipo de certificado no es confiable y no se recomienda instalarlo en las máquinas de los usuarios.
Con la nueva configuración del certificado de servidor GUI, una forma rápida de verificar su confiabilidad es inspeccionar las entradas de la base de datos SAN (Subject Alternative Name) bajo X509v3 Subject Alternative Name..
Cuando el acceso HTTPS está habilitado en alguna interfaz, la dirección IP de la interfaz puede verse en las entradas SAN, asegurando que la configuración es correcta.
Solución recomendada
Si se presenta el problema mencionado, se puede realizar un trabajo alrededor de este problema reiniciando la configuración del certificado del servidor de administración. Cambiar el certificado a ‘Fortinet_Factory’ y luego volver a ‘Fortinet_GUI_Server’ podría ayudar.
Ejecute los siguientes comandos en la CLI:
config system global
set admin-server-cert Fortinet_Factory
end
config system global
set admin-server-cert Fortinet_GUI_Server
end
Comandos CLI utilizados
Los comandos indican cómo cambiar el certificado del servidor de administración en FortiGate. Recuerde que es importante utilizar comandos en el orden correcto para evitar configuraciones erróneas.
Buenas prácticas y recomendaciones
Es recomendable mantener FortiGate actualizado a la versión más reciente para garantizar que posee mejoras de seguridad y correcciones de errores. Verifique regularmente la configuración de los certificados y asegúrese de que todos los certificados autogenerados sean eliminados para evitar confusiones.
Adicionalmente, al configurar certificados, asegúrese de que estén presentes las entradas SAN requeridas, ya que esta es una práctica recomendada para la aceptación de certificados por parte de los navegadores.
Notas adicionales
La obligación de que las entradas SAN estén presentes en un certificado para que sea confiable proviene de las políticas de los navegadores (como Mozilla, Google Chrome) y bibliotecas (como OpenSSL). Siempre asegúrese de seguir las prácticas recomendadas para la administración de certificados en sus dispositivos FortiGate.
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!