FortiGate
SecTrail CM, FortiGate firewall cihazlarına ajansız bağlantı kurarak SSL sertifikalarının otomatik dağıtımını ve yenilenmesini sağlar.
Bağlantı Gereksinimleri
| Gereksinim | Detay | Açıklama |
|---|---|---|
| Protokol | REST API (HTTPS) | FortiGate'in native REST API'si kullanılır |
| Port | 443 | Standart HTTPS portu veya custom management port |
| Kimlik Doğrulama | Username ve Password | Username ve Password ile kimlik doğrulama |
| Kullanıcı Yetkisi | Admin veya Certificate Manager role | Sertifika yükleme ve yapılandırma yetkisi |
Otomatik İşlemler
SecTrail CM, FortiGate üzerinde aşağıdaki işlemleri otomatik gerçekleştirir:
- Sertifika ve Key Yükleme: SSL sertifikası ve private key'in cihaza güvenli transferi
- SSL Profile Update: SSL inspection profile'larının güncellenmesi
- Policy Update: Firewall policy'lerinin yeni profili kullanacak şekilde güncellenmesi
- Configuration Commit: Konfigürasyonun kalıcı hale getirilmesi
Yapılandırma Adımları
1. FortiGate Kullanıcı Oluşturma
Automation > Device Users bölümüne gidin ve FortiGate için kullanıcı oluşturun.
2. FortiGate Cihazını SecTrail CM'e Ekleme
Automation > Devices > Add New Device butonuna tıklayın ve aşağıdaki bilgileri girin:
- Name: Cihaz için tanımlayıcı isim verin
- Device Users: Adım 1'de oluşturduğunuz kullanıcıyı seçin
- IP: FortiGate cihazının IP adresi veya hostname'ini girin
- Device Type: Açılır menüden
FortiGateseçin - Deployment Type: Dağıtım tipini seçin
- Generative - Append: Yeni bir SSL profili oluşturur, bu profile yeni sertifikayı ekler ve eşleşen policy'lere bağlar
- Generative - Replace: Yeni bir SSL profili oluşturur, sertifikayı değiştirerek bu profile ekler ve eşleşen policy'lere bağlar
- Override - Append: Var olan SSL profile'a yeni sertifikayı ekler
- Override - Replace: Var olan SSL profile'daki sertifikayı kaldırır ve yerine yeni sertifikayı ekler
- VDOM: FortiGate VDOM adı (örn.
root) - Execution Server: Dağıtım işlemlerini yürütmek için kullanılacak sunucu
FortiGate cihazı SecTrail CM'e eklendikten sonra, cihazda tanımlı tüm sertifikalar otomatik olarak keşif periyoduna dahil edilir ve düzenli olarak taranır. Süresi dolmak üzere olan veya sorunlu sertifikalar için otomatik alarm oluşturulur.
3. Cihaz Bilgilerini Görüntüleme
Cihaz eklendikten sonra Automation > Devices listesinde görüntülenecektir. Cihaz detaylarını görmek için satıra tıklayın:
- SSL Profile: Sertifika ile ilişkili SSL inspection profili adı
- Scope: SSL profilinin kapsamı (örn. Protecting SSL Server, Multiple Clients to Multiple Servers)
- Cert Name: Cihazda tanımlı sertifikanın adı
- Common Name: Sertifikanın Common Name (CN) bilgisi
- Not After: Sertifikanın son geçerlilik tarihi
- Fingerprint: Sertifikanın parmak izi
- Deploy: Sertifika dağıtımı için
Sertifika Dağıtımı
Adım 1: SSL Profile ve Sertifika Seçimi
- Automation > Devices bölümünden FortiGate cihazınızı seçin
- Cihaz detaylarında, sertifika dağıtmak istediğiniz SSL profile'ı bulun
- İlgili satırdaki Deploy butonuna tıklayın
- Açılan Deploy Certificate penceresinde:
- Virtual Servers: Hedef virtual server bilgisi görüntülenir (SSL Profile / Common Name / Installation Target / Not After formatında)
- Deploy Type: Yapılandırılan dağıtım tipi görüntülenir (örn. Generative-Replace)
- Replace Certificate: Cihazda değiştirilecek mevcut sertifikayı seçin
- Certificate: Açılır menüden dağıtmak istediğiniz yeni sertifikayı seçin
Adım 2: Dağıtım İşlemini Başlatma
Deploy butonuna tıklayarak sertifika dağıtım işlemini başlatın.
Adım 3: İşlem Takibi
Dağıtım işlemi Automation > Processes bölümünden takip edilebilir:
İşlem Detayları
Dağıtım sırasında aşağıdaki adımlar gerçekleştirilir:
| Adım | İşlem Açıklaması |
|---|---|
| 1 | SSL profili alınır ve cert mode belirlenir |
| 2 | Sertifika cihaza yüklenir |
| 3 | SSL profil gövdesi oluşturulur |
| 4 | SSL profili kaydedilir |
| 5 | Firewall policy'leri alınır |
| 6 | Eşleşen policy'ler yeni profili kullanacak şekilde güncellenir |
| 7 | Dağıtım başarıyla tamamlanır |
Geri Alma İşlemi
Sertifika dağıtımı sonrasında sorun yaşanması durumunda Manual Rollback özelliği kullanılabilir.
Dağıtım işlemi sırasında herhangi bir adımda hata oluşması durumunda, sistem otomatik olarak geri alma işlemini gerçekleştirir ve tüm değişiklikler geri alınır.
Geri Alma Adımları
- Automation > Processes bölümüne gidin
- Geri almak istediğiniz işlemi bulun
- Status sütununda Manual-Rollback seçeneğini kullanın
- Onay verin
Geri Alma Sırasında Gerçekleşen İşlemler
| Adım | İşlem |
|---|---|
| 1 | Rollback planı oluşturulur ve silinecek sertifika belirlenir |
| 2 | Firewall policy'leri alınır |
| 3 | Eşleşen policy'ler eski profile geri döndürülür |
| 4 | Yeni SSL profili silinir |
| 5 | Sertifika cihazdan silinir |
| 6 | Geri alma başarıyla tamamlanır |