meta data de esta página
  •  

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
hardware:fortigate:vpn:ipseccertificados [2020/04/24 12:10] – [Crear certificados para los clientes] lchardware:fortigate:vpn:ipseccertificados [2023/01/18 13:45] (actual) – editor externo 127.0.0.1
Línea 102: Línea 102:
  
  
-Ahora nos aparecerá el certificado firmado. Ya sólo falta exportar este certificado y el certificado raíz e importarlos al fortigate+Ahora nos aparecerá el certificado firmado. Ya sólo falta exportar este certificado y el certificado raíz 
 XCA-> Pestaña Certificate-> elegimos el certificado y le damos a exportar ->PKCS#12  XCA-> Pestaña Certificate-> elegimos el certificado y le damos a exportar ->PKCS#12 
  
Línea 109: Línea 109:
  
 === Importar Certificado Raiz === === Importar Certificado Raiz ===
-System ->Certificates ->CA Certificates ->Import ->Marcamos la casilla Local Pc y seleccionamos el fichero CA Raiz que previamente hemos exportado de nuestra entidad Certificadora+System ->Certificates ->Import->CA Certificates ->Seleccionamos el fichero CA Raiz que previamente hemos exportado de nuestra entidad Certificadora 
 +{{ :hardware:fortigate:vpn:importcertca.png?nolink&600 |}}
  
 === Importar certificado cliente === === Importar certificado cliente ===
 Vamos al interfaz web del cortafuegos -> System ->Certificates ->Local Certificate -> Import -> Seleccionamos el certificado cliente del paso anterior Vamos al interfaz web del cortafuegos -> System ->Certificates ->Local Certificate -> Import -> Seleccionamos el certificado cliente del paso anterior
 +{{ :hardware:fortigate:vpn:importarcert.png?nolink&600 |}}
  
 ====  Forticlient ==== ====  Forticlient ====
 === Importar certificados al Forticlient === === Importar certificados al Forticlient ===
- +Para usar el  certificado de cliente que hemos generado en el equipo del usuario debemos de enviarselo por algún medio y el usario debe  proceder a su instalación . 
-A su vez desde el XCA -> pestaña Certificates ->exportamos el certificado cliente en formato pkcs#12 e importamos ambos certificados al forticlient->Menu File->opciones->Gestión de Certificados->botón importar +En equipos con Windows 10 basta con pulsar dos veces sobre el certificado para que se inicie el asistente de instalación  
- +{{ :hardware:fortigate:vpn:w10importcert.png?nolink&600 |}}
-<note>Es necesario importar los dos certificados CA_Cert1 y el del cliente</note>+
  
 === Crear la conexión === === Crear la conexión ===
Línea 132: Línea 132:
 ==== Crear conexión y usuarios en el Fortigate === ==== Crear conexión y usuarios en el Fortigate ===
 Aparte de los pasos anteriores se supone que en el fortigate hemos creado las políticas y los usuarios necesarios. En caso contrario los pasos a seguir son: Aparte de los pasos anteriores se supone que en el fortigate hemos creado las políticas y los usuarios necesarios. En caso contrario los pasos a seguir son:
- +  -  Crear los usuarios de validación PKI 
-  Nos validamos en el Fortigate y vamos a la pestaña VPN +  -  Crear la VPN  
-  - Creamos los usuarios de validación  +  -  Añadir políticas de acceso
-  - Pinchamos sobre el icono **Create FortiClient VPN** +
-  - Ponemos los siguientes parámetros+
  
  
  
 === Creamos los usuarios de validación === === Creamos los usuarios de validación ===
-== para PKI === +== Validación por certificados === 
-{{ :hardware:fortigate:pki.png?400 |}}+Para la validación por certificados hay que crear usuarios PKI.    Fortigate-> User & Device -> PKI 
 +{{ :hardware:fortigate:vpn:pki1.png?nolink&600 |}} 
 + 
 + 
 +Creamos un nuevo usuario PKI teniendo en cuenta que el Subject tiene que ser el mismo que el del certficado y en CA el certificado de nuestra CA . Si sólo tienes añadida una,  se llamara CA_Cert1 
 +=== Creamos la VPN === 
 +En mi caso voy a generar una vpn por ipsec.  Fortigate->VPN -> Ipsec Tunnels -> Create New 
 +{{ :hardware:fortigate:vpn:vpn1.png?nolink&600 |}} 
 + 
 +En mi caso voy a generarla utilizando el boton **Custom**  
 +{{ :hardware:fortigate:vpn:vpn2.png?nolink&600 |}} 
 + 
 +{{ :hardware:fortigate:vpn:pki2.png?nolink&600 |}} 
 +Cambiamos Remote Gateway por **Dial up user** , la interface que vamos a usar, el método de autentificación a **signature** y seleccionamos el certificado que previamente habíamos importado. En mi caso lo he llamado igual que la vpn
  
 +En el campo **Acces Type ** he seleccionado **Peer Certificate** y en el campo **Peer Certificate ** he seleccionado el usuario pki creado anteriormente
 +{{ :hardware:fortigate:vpn:pki3.png?nolink&600 |}}
  
-Creamos uno nuevo teniendo en cuenta que el Subject tiene que ser el mismo que el del certficado en CA el certificado de nuestra CA normalmente CA_Cert1+El resto de parámetros los pondremos según nuestras necesidades, un ejemplo completo sería el siguiente 
 +{{ :hardware:fortigate:vpn:pki4.png?nolink&600 |}} 
 +{{ :hardware:fortigate:vpn:pki5.png?nolink&600 |}} 
 +{{ :hardware:fortigate:vpn:pki6.png?nolink&600 |}} 
 +{{ :hardware:fortigate:vpn:pki7.png?nolink&600 |}} 
 +{{ :hardware:fortigate:vpn:pki8.png?nolink&600 |}} 
 +<note tip>Por supuesto hay que dar de alta en el Fortigate todos los rangos de las direcciones que vayamos a utilizar las reglas de acceso que van a necesitar esas redes</note>