Este artículo aborda la integración de FortiAuthenticator como servidor CMPv2 para la implementación de certificados 3GPP en dispositivos FortiGate, vital para el despliegue de redes móviles. La correcta configuración de estos certificados es crucial para garantizar la seguridad y la autenticación en la comunicación entre dispositivos en entornos de red mobile. A continuación, se ofrecen pasos detallados para realizar esta configuración, asegurando una implementación exitosa.
Índice
Descripción del problema
La necesidad de gestionar certificados de forma eficaz y segura en un entorno de red móvil se convierte en un reto importante. FortiAuthenticator permite gestionar estos certificados a través de CMPv2, lo cual facilita la autenticación y la comunicación segura entre los dispositivos FortiGate. Si no se cuenta con una correcta configuración, es posible que las características de seguridad se vean comprometidas, resultando en vulnerabilidades importantes.
Alcance
Este artículo es aplicable a FortiGate v6.2.x y versiones posteriores, así como a FortiAuthenticator v6.6.x y versiones posteriores.
Diagnóstico paso a paso
A continuación, se describen los pasos específicos para la configuración:
En FortiAuthenticator:
- Dirígete a ‘Gestión de Certificados -> CMP -> General’ y habilita CMPv2.
- Una vez habilitado, selecciona un certificado de servidor y configura la contraseña de inscripción predeterminada.
- Ve a ‘Red -> Interfaces’ para habilitar los servicios CMP en la interfaz a la que se conectará FortiGate.
- Asegúrate de poder utilizar HTTPS o HTTP; este ejemplo utiliza TCP/80.
- Accede a ‘Gestión de Certificados -> CAs Locales’ y configura un certificado CA local que se utilizará para firmar las solicitudes.
- Dirígete a ‘Gestión de Certificados -> CMP -> Solicitud de Inscripción’ y crea un nuevo certificado de inscripción con el tipo de solicitud establecido en ‘3GPP’.
La solicitud de inscripción puede personalizarse según el requisito ajustando el período de renovación y seleccionando los usos de claves necesarios. Una vez creada, aparecerá con el estado ‘Pendiente’.
En FortiGate:
- Importa el certificado del servidor FortiAuthenticator bajo ‘Certificado Remoto’:
config certificate remote
# edit G_REMOTE_Cert_1
(G_REMOTE_Cert_1) # get
name : G_REMOTE_Cert_1
remote :
Subject: C = US, ST = California, L = Sunnyvale, O = Fortinet, OU = Fortiauthenticator, CN = Default-Server-Certificate-D01CBD01
.....
- La sintaxis de IR en FortiGate es la siguiente:
execute vpn certificate local generate cmp <nombre local> <tamaño de clave> <dirección:puerto> <ruta> <SrvCert> <AuthCert> <usuario> <contraseña>En este ejemplo:
execute vpn certificate local generate cmp SecGW-cert 2048 10.5.145.56:80 /app/cert/cmp2/ G_REMOTE_Cert_1 Fortinet_Factory
Certificate CMP IR started, Please check it in a whileEmitido con éxito:
config certificate local
edit SecGW-cert
get
name : SecGW-cert
password : *
comments :
private-key :
certificate :
Subject: CN = FG481FTK1111111.unknown.com
Issuer: O = test, OU = SECGW, CN = FAC
...
state :
range : global
source : user
source-ip : 0.0.0.0
ike-localid-type : asn1dn
enroll-protocol : cmpv2
cmp-server : 10.5.145.56
cmp-path : /app/cert/cmp2/
cmp-server-cert : G_REMOTE_Cert_1
cmp-regeneration-method: keyupdate
auto-regenerate-days: 0
auto-regenerate-days-warning: 0Solución recomendada
Para solucionar problemas en FortiGate, es posible rastrear el proceso utilizando los siguientes comandos de depuración CMP o ejecutando capturas de paquetes hacia la IP de FortiAuthenticator:
diag debug reset
diag debug app cmp 255
diag debug enEn las capturas, asegúrate de filtrar CMP:

En FortiAuthenticator, las herramientas de depuración están disponibles en Debug page -> Otros -> SCEP/CMP.
Comandos CLI utilizados
config certificate remote
# edit G_REMOTE_Cert_1
execute vpn certificate local generate cmp <nombre local> <tamaño de clave> <direccion:puerto> <ruta> <SrvCert> <AuthCert> <usuario> <contraseña>Buenas prácticas y recomendaciones
Se recomienda siempre realizar respaldos de la configuración actual antes de aplicar cambios y asegurarse de entender cada comando antes de ejecutarlo. Además, la verificación regular del estado de los certificados y su correcta renovación es fundamental para mantener la seguridad en la red móvil.
Notas adicionales
Es importante que todos los equipos en la red tengan la hora y fecha configuradas correctamente para evitar problemas de sincronización con los certificados. Cualquier inconsistencia en este aspecto podría resultar en fallas de autenticación o comunicación.
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!