Cómo solucionar la generación de un certificado 3GPP en FortiGate usando FortiAuthenticator como servidor CMPv2

Este artículo aborda la integración de FortiAuthenticator como servidor CMPv2 para la implementación de certificados 3GPP en dispositivos FortiGate, vital para el despliegue de redes móviles. La correcta configuración de estos certificados es crucial para garantizar la seguridad y la autenticación en la comunicación entre dispositivos en entornos de red mobile. A continuación, se ofrecen pasos detallados para realizar esta configuración, asegurando una implementación exitosa.

Descripción del problema

La necesidad de gestionar certificados de forma eficaz y segura en un entorno de red móvil se convierte en un reto importante. FortiAuthenticator permite gestionar estos certificados a través de CMPv2, lo cual facilita la autenticación y la comunicación segura entre los dispositivos FortiGate. Si no se cuenta con una correcta configuración, es posible que las características de seguridad se vean comprometidas, resultando en vulnerabilidades importantes.

Alcance

Este artículo es aplicable a FortiGate v6.2.x y versiones posteriores, así como a FortiAuthenticator v6.6.x y versiones posteriores.

Diagnóstico paso a paso

A continuación, se describen los pasos específicos para la configuración:

En FortiAuthenticator:

  1. Dirígete a ‘Gestión de Certificados -> CMP -> General’ y habilita CMPv2.
  2. Una vez habilitado, selecciona un certificado de servidor y configura la contraseña de inscripción predeterminada.
  3. Ve a ‘Red -> Interfaces’ para habilitar los servicios CMP en la interfaz a la que se conectará FortiGate.
  4. Asegúrate de poder utilizar HTTPS o HTTP; este ejemplo utiliza TCP/80.
  5. Accede a ‘Gestión de Certificados -> CAs Locales’ y configura un certificado CA local que se utilizará para firmar las solicitudes.
  6. Dirígete a ‘Gestión de Certificados -> CMP -> Solicitud de Inscripción’ y crea un nuevo certificado de inscripción con el tipo de solicitud establecido en ‘3GPP’.
Artículos relacionados  Fallos de conexión entre FortiGate y FortiAnalyzer/Syslog

La solicitud de inscripción puede personalizarse según el requisito ajustando el período de renovación y seleccionando los usos de claves necesarios. Una vez creada, aparecerá con el estado ‘Pendiente’.

En FortiGate:

  1. Importa el certificado del servidor FortiAuthenticator bajo ‘Certificado Remoto’:
config certificate remote
# edit G_REMOTE_Cert_1
(G_REMOTE_Cert_1) # get
name : G_REMOTE_Cert_1
remote : 
Subject: C = US, ST = California, L = Sunnyvale, O = Fortinet, OU = Fortiauthenticator, CN = Default-Server-Certificate-D01CBD01
.....
  1. La sintaxis de IR en FortiGate es la siguiente:
execute vpn certificate local generate cmp <nombre local> <tamaño de clave> <dirección:puerto> <ruta> <SrvCert> <AuthCert> <usuario> <contraseña>

En este ejemplo:

execute vpn certificate local generate cmp SecGW-cert 2048 10.5.145.56:80 /app/cert/cmp2/ G_REMOTE_Cert_1 Fortinet_Factory
Certificate CMP IR started, Please check it in a while

Emitido con éxito:

config certificate local
    edit SecGW-cert
        get
        name : SecGW-cert
        password : * 
        comments : 
        private-key : 
        certificate : 
        Subject: CN = FG481FTK1111111.unknown.com
        Issuer: O = test, OU = SECGW, CN = FAC
        ...
        state : 
        range : global 
        source : user 
        source-ip : 0.0.0.0
        ike-localid-type : asn1dn 
        enroll-protocol : cmpv2 
        cmp-server : 10.5.145.56 
        cmp-path : /app/cert/cmp2/ 
        cmp-server-cert : G_REMOTE_Cert_1 
        cmp-regeneration-method: keyupdate 
        auto-regenerate-days: 0
        auto-regenerate-days-warning: 0

Solución recomendada

Para solucionar problemas en FortiGate, es posible rastrear el proceso utilizando los siguientes comandos de depuración CMP o ejecutando capturas de paquetes hacia la IP de FortiAuthenticator:

diag debug reset 
diag debug app cmp 255 
diag debug en

En las capturas, asegúrate de filtrar CMP:

Captura de CMP

En FortiAuthenticator, las herramientas de depuración están disponibles en Debug page -> Otros -> SCEP/CMP.

Comandos CLI utilizados

config certificate remote
# edit G_REMOTE_Cert_1
execute vpn certificate local generate cmp <nombre local> <tamaño de clave> <direccion:puerto> <ruta> <SrvCert> <AuthCert> <usuario> <contraseña>

Buenas prácticas y recomendaciones

Se recomienda siempre realizar respaldos de la configuración actual antes de aplicar cambios y asegurarse de entender cada comando antes de ejecutarlo. Además, la verificación regular del estado de los certificados y su correcta renovación es fundamental para mantener la seguridad en la red móvil.

Artículos relacionados  Cómo solucionar el acceso a FortiGate Firewall a través de FortiExplorer tras una actualización de firmware.

Notas adicionales

Es importante que todos los equipos en la red tengan la hora y fecha configuradas correctamente para evitar problemas de sincronización con los certificados. Cualquier inconsistencia en este aspecto podría resultar en fallas de autenticación o comunicación.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *