Cómo solucionar problemas de aprovisionamiento de certificados ACME en Fortinet

0
0
0

Este artículo aborda el procedimiento necesario para la provisión de certificados ACME de Let’s Encrypt en dispositivos FortiGate. Estos certificados son esenciales para implementar conexiones seguras utilizando HTTPS en sitios web. Asegurarse de que el proceso de configuración sea adecuado es fundamental, ya que un error podría llevar a problemas de comunicación o comprometer la seguridad. Esta guía detallará los pasos necesarios para facilitar la provisión de estos certificados.

Descripción del problema

Cuando se intenta obtener un certificado ACME de Let’s Encrypt en FortiGate, pueden surgir varios desafíos, especialmente en la configuración de las interfaces de red y las políticas de acceso. Esto puede impedir que el FortiGate se comunique correctamente con los servidores de ACME, lo que resulta en la imposibilidad de emitir o renovar certificados.

Alcance

Este artículo se aplica a FortiGate v7.0 y versiones posteriores.

Solución recomendada

La lista de verificación completa y las limitaciones para la provisión de certificados ACME de Let’s Encrypt son las siguientes:

  1. El puerto 80 y el puerto 443 deben estar abiertos ‘temporalmente‘ en la interfaz WAN deseada, y no deben estar utilizados o publicados a través de un VIP, balanceador de carga de servidores, SSLVPN u otro servicio en FortiGate. Se debe probar accediendo a ‘http://www.domain.com‘ y ‘https://www.domain.com‘ (ambos deben mostrar el aviso de inicio de sesión de FortiGate). No pruebe accediendo a http://x.x.x.x o https://x.x.x.x (IP del dominio). Esto no se utiliza en el proceso de verificación. El nombre de dominio debe ser de su propiedad y debe estar asociado con la IP pública utilizada por FortiGate (y, tras la provisión del certificado, por el futuro servidor web).
  2. La interfaz WAN debe tener habilitados HTTPS y HTTP bajo ‘allowaccess’ (la interfaz Loopback y SDWAN no están soportadas).
  • Para configuraciones multivdom, la interfaz WAN debe estar en el VDOM de administración.
  1. La redirección de HTTP a HTTPS debe estar desactivada (temporalmente) desde Sistema -> Configuración -> Administración.
  2. Las políticas de ‘Local-in’ no deben bloquear el tráfico de los servidores de ACME (ubicación en USA – tenga en cuenta si se utiliza GeoIP).
  3. Los ‘host de confianza’ para el acceso administrativo a FortiGate deben ser eliminados temporalmente para permitir este acceso externo al reto de ACME.
  4. La zona horaria y la hora deben estar configuradas correctamente (NTP actualizado), según la zona donde esté registrada la IP.
  5. Asegúrese de que ‘dedicado a la gestión’ no esté habilitado, ya que esto enviará el tráfico de gestión a través de la interfaz de gestión en cambio.
  6. Si el FortiGate es una máquina virtual, hay verificaciones adicionales que deben realizarse, y se han introducido mejoras a partir de la versión 7.6.1.
  7. Verifique la tabla de enrutamiento y realice una captura de paquetes, ya que el tráfico hacia los servidores de ACME debe ir a través de la interfaz asociada con la IP pública utilizada por FortiGate. Ejemplo: Si se usa WAN1 para el certificado ACME y el tráfico de salida es a través de WAN2 para alcanzar los servidores de ACME, la provisión del certificado fallará. Si el tráfico de salida es a través de la interfaz WAN incorrecta, la solución es establecer una Distancia Administrativa más baja para el enlace que necesita alcanzar los servidores de ACME o desactivar temporalmente el otro enlace ISP.
Artículos relacionados  Cómo solucionar sitios lentos o inaccesibles con SD-WAN al usar el control de aplicaciones en 'Permitir'
Comandos CLI utilizados

El siguiente comando CLI puede ser útil para verificar la configuración de acceso y captura de tráfico:

get system performance top
Buenas prácticas y recomendaciones

Para garantizar un proceso de provisión de certificados fluido, se recomienda seguir estas buenas prácticas:

  • Realizar pruebas en un entorno controlado antes de implementar los cambios en producción.
  • Documentar cada paso de la configuración para futuras referencias.
  • Mantener backups de configuraciones anteriores antes de realizar cambios significativos.
Notas adicionales

Es importante recordar que los certificados de Let’s Encrypt tienen una validez limitada y necesitan ser renovados regularmente. La automatización de este proceso es clave para asegurar una continuidad en el servicio HTTPS.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *