FortiGate VPN の クライアント証明書認証

FortiGate

FortiGateでリモートアクセスVPNの接続の際にクライアント証明書を利用して接続元デバイスの制限を行なうようにする設定の手順
(SSL-VPNの基本的な設定手順は省略してます)

構成の概要

クライアント証明書が入っているデバイスからのVPN接続認証は承認し、そうでないデバイスは否認する。

FortiGateに必用なもの

  • クライアント証明書の発行元のCA証明書をインポート
  • クライアント証明書認証の有効化

接続元デバイスに必用なもの

  • クライアント証明書をインポート
  • FortiClientの設定を変更

つまりこのCAが発行した証明書なら認証する、という構成。CAは商用でもプライベートでも良い。AD連携認証やRADIUS認証と組み合わせも可能

FortiGateへCA証明書をインポート

システム > 証明書 > インポート > CA証明書 > オンラインSCEP or ファイル

下図は3つのCAが登録されている状態(CA_Cert_1~3)

クライアント証明書認証有効化

VPN > SSL-VPN設定 > クライアント証明書を要求を有効

クライアント証明書のインポート

下図はWindows10のコンピュータストアにインポートした状態
真ん中の証明書がVPN用。上図のCA_Cert_3のCAが発行したもの

FortiClientの設定

インポートした証明書を選択する

証明書の更新・失効

更新はCAとクライアント側の作業だけだが、失効はFortiGateの作業も必要となる。

システム > 証明書 > インポート > CRL > ファイルベース or オンライン(HTTP/LDAP/SCEP)

下図の一番下がインポートしたCRL

CA証明書にCRL配布ポイントが表示される場合はオンライン(HTTP)でインポートすることも可能

2020年4月30日FortiGateVPN,証明書

Posted by senchan