FortiManager
SecTrail CM, FortiManager merkezi yönetim platformuna ajansız bağlantı kurarak yönetilen tüm FortiGate cihazlarına SSL sertifikalarının otomatik dağıtımını ve yenilenmesini sağlar.
Bağlantı Gereksinimleri
| Gereksinim | Detay | Açıklama |
|---|---|---|
| Protokol | REST API (HTTPS) | FortiManager'ın native REST API'si kullanılır |
| Port | 443 | Standart HTTPS portu veya custom management port |
| Kimlik Doğrulama | Username ve Password | Username ve Password ile kimlik doğrulama |
| Kullanıcı Yetkisi | Admin veya Certificate Manager role | Sertifika yükleme ve yapılandırma yetkisi |
Otomatik İşlemler
SecTrail CM, FortiManager üzerinde aşağıdaki işlemleri otomatik gerçekleştirir:
- Sertifika ve Key Yükleme: SSL sertifikası ve private key'in ADOM local store'a güvenli transferi
- Certificate Import: Sertifika ve key'in FortiManager üzerinden yönetilen cihazlara dağıtılması
- SSL Profile Update: SSL inspection profile'larının güncellenmesi
- Policy Install: Güncellenen policy'lerin hedef cihazlara yüklenmesi
- Configuration Commit: Workspace'in commit edilmesi ve yapılandırmanın kalıcı hale getirilmesi
Yapılandırma Adımları
1. FortiManager Kullanıcı Oluşturma
Automation > Device Users bölümüne gidin ve FortiManager için kullanıcı oluşturun.
2. FortiManager Cihazını SecTrail CM'e Ekleme
Automation > Devices > Add New Device butonuna tıklayın ve aşağıdaki bilgileri girin:
- Name: Cihaz için tanımlayıcı isim verin
- Device Users: Adım 1'de oluşturduğunuz kullanıcıyı seçin
- IP: FortiManager yönetim IP adresi veya hostname'i girin
- Device Type: Açılır menüden
FortiManagerseçin - Deployment Type: Dağıtım tipini seçin
- Generative - Append: Yeni bir SSL profili oluşturur, bu profile yeni sertifikayı ekler ve eşleşen policy'lere bağlar
- Generative - Replace: Yeni bir SSL profili oluşturur, sertifikayı değiştirerek bu profile ekler ve eşleşen policy'lere bağlar
- Override - Append: Var olan SSL profile'a yeni sertifikayı ekler
- Override - Replace: Var olan SSL profile'daki sertifikayı kaldırır ve yerine yeni sertifikayı ekler
- Install Policy: Güncellenen policy'ler cihazlara yüklensin mi? (Devre Dışı/Etkin)
- Install Bypass Validation: Policy yüklemesi sırasında doğrulama atlanabilsin mi? (Devre Dışı/Etkin)
- ADOM: FortiManager ADOM adı (örn.
root) - Filter SSL Profile: FortiManager SSL profil filtre adı (opsiyonel)
- Execution Server: Dağıtım işlemlerini yürütmek için kullanılacak sunucu
FortiManager cihazı SecTrail CM'e eklendikten sonra, FortiManager tarafından yönetilen tüm cihazlardaki sertifikalar otomatik olarak keşif periyoduna dahil edilir ve düzenli olarak taranır. Süresi dolmak üzere olan veya sorunlu sertifikalar için otomatik alarm oluşturulur.
3. Cihaz Bilgilerini Görüntüleme
Cihaz eklendikten sonra Automation > Devices listesinde görüntülenecektir. Cihaz detaylarını görmek için satıra tıklayın:
- Firewall Policy: Sertifika ile ilişkili firewall policy'sinin adı
- Policy Package: Kuralın ait olduğu policy paketi
- Installation Targets: Policy'nin yükleneceği hedef FortiGate cihazları
- SSL Profile: Sertifika ile ilişkili SSL inspection profili adı
- Dynamic Local Certificate: Yönetilen cihazlardaki dynamic local certificate eşleşmeleri
- Common Name: Sertifikanın Common Name (CN) bilgisi
- Not After: Sertifikanın son geçerlilik tarihi
- Deploy: Sertifika dağıtımı için
Sertifika Dağıtımı
Adım 1: Virtual Server ve Sertifika Seçimi
- Automation > Devices bölümünden FortiManager cihazınızı seçin
- Cihaz detaylarında, sertifika dağıtmak istediğiniz policy'yi bulun
- İlgili satırdaki Deploy butonuna tıklayın
- Açılan Deploy Certificate penceresinde:
- Virtual Servers: Hedef virtual server bilgisi görüntülenir (SSL Profile / Installation Targets / Common Name formatında)
- Deploy Type: Yapılandırılan dağıtım tipi görüntülenir (örn. Generative-Append)
- Certificate: Açılır menüden dağıtmak istediğiniz sertifikayı seçin
Adım 2: Dağıtım İşlemini Başlatma
Deploy butonuna tıklayarak sertifika dağıtım işlemini başlatın.
Adım 3: İşlem Takibi
Dağıtım işlemi Automation > Processes bölümünden takip edilebilir:
İşlem Detayları
Dağıtım sırasında aşağıdaki adımlar gerçekleştirilir:
| Adım | İşlem Açıklaması |
|---|---|
| 1 | Workspace modu etkinleştirilir, ADOM kilitleniir |
| 2 | Sertifika ADOM local store'a yüklenir |
| 3 | Sertifika yönetilen cihazlara dağıtılır |
| 4 | ADOM'da Dynamic Certificate Object oluşturulur |
| 5 | Dynamic Certificate Mapping cihazlara atanır |
| 6 | SSL profili alınır ve klonlanır |
| 7 | SSL profil payload'ı hazırlanır ve uygulanır |
| 8 | Firewall policy'leri yeni profili kullanacak şekilde güncellenir |
| 9 | ADOM workspace commit edilir ve policy yüklenir |
| 10 | ADOM workspace başarıyla kilidi açılır |
SecTrail CM, dağıtım öncesinde ADOM workspace'i kilitler, işlem tamamlandıktan sonra tüm değişiklikleri commit eder ve workspace kilidini açar. Install Policy etkinse güncellenen policy hedef FortiGate cihazlarına da iletilir.
Geri Alma İşlemi
Sertifika dağıtımı sonrasında sorun yaşanması durumunda Manual Rollback özelliği kullanılabilir.
Dağıtım işlemi sırasında herhangi bir adımda hata oluşması durumunda, sistem otomatik olarak geri alma işlemini gerçekleştirir ve tüm değişiklikler geri alınır.
Geri Alma Adımları
- Automation > Processes bölümüne gidin
- Geri almak istediğiniz işlemi bulun
- Status sütununda Manual-Rollback seçeneğini kullanın
- Onay verin
Geri Alma Sırasında Gerçekleşen İşlemler
| Adım | İşlem |
|---|---|
| 1 | Workspace modu etkinleştirilir, ADOM kilitleniir |
| 2 | ADOM'dan SSL profilleri alınır |
| 3 | Firewall policy'leri base profile'a geri döndürülür |
| 4 | SSL profili başarıyla silinir |
| 5 | Dynamic mapping'ler yönetilen cihazlardan silinir |
| 6 | Dynamic Certificate Object silinir |
| 7 | Sertifika ADOM ve cihaz veritabanlarından silinir |
| 8 | ADOM workspace başarıyla commit edilir |
| 9 | ADOM workspace başarıyla kilidi açılır |