FortiWeb
SecTrail CM, Fortinet FortiWeb Web Application Firewall (WAF) cihazlarına ajansız bağlantı kurarak SSL sertifikalarının otomatik dağıtımını ve yenilenmesini sağlar.
Bağlantı Gereksinimleri
| Gereksinim | Detay | Açıklama |
|---|---|---|
| Protokol | REST API (HTTPS) | FortiWeb'in native REST API'si kullanılır |
| Port | 443 | Standart HTTPS portu veya custom management port |
| Kimlik Doğrulama | Basic Authentication | Username ve Password ile kimlik doğrulama |
| Kullanıcı Yetkisi | Administrator veya Certificate Manager | Sertifika yükleme ve yapılandırma yetkisi |
Otomatik İşlemler
SecTrail CM, FortiWeb üzerinde aşağıdaki işlemleri otomatik gerçekleştirir:
- Sertifika ve Key Yükleme: SSL sertifikası ve private key'in güvenli transferi
- Certificate Chain Oluşturma: Intermediate CA sertifikalarının zincir oluşturması
- Server Policy Güncelleme: Server policy'deki sertifika referanslarının güncellenmesi
- SNI Members Güncelleme: SNI bazlı sertifika atamaları
- Configuration Apply: Yapılandırmanın aktif hale getirilmesi
Yapılandırma Adımları
1. FortiWeb Kullanıcı Oluşturma
Automation > Device Users bölümüne gidin ve FortiWeb için kullanıcı oluşturun.
2. FortiWeb Cihazını SecTrail CM'e Ekleme
Automation > Devices > Add New Device butonuna tıklayın ve aşağıdaki bilgileri girin:
- Name: Cihaz için tanımlayıcı isim verin
- Device Users: Adım 1'de oluşturduğunuz kullanıcıyı seçin
- IP: FortiWeb cihazının yönetim IP adresini girin
- Device Type: Açılır menüden
FortiWebseçin - Cert Upload Only: Yalnızca sertifika yüklensin mi? (Devre Dışı/Etkin)
FortiWeb cihazı SecTrail CM'e eklendikten sonra, cihazda tanımlı tüm Server Policy ve SNI'ların IP adresleri ve portları otomatik olarak keşif periyoduna dahil edilir ve düzenli olarak taranır.
3. Cihaz Bilgilerini Görüntüleme
Cihaz eklendikten sonra Automation > Devices listesinde görüntülenecektir. Cihaz detaylarını görmek için satıra tıklayın:
- Server Policy: FortiWeb cihazında tanımlı Server Policy adları
- Type: Policy tipini gösterir (Server-Policy veya SNI)
- SNI: Server Name Indication adı (SNI tipleri için)
- Domain Name: SNI profilinin İlişkili domain adı
- Address: Virtual server'ın IP adresi ve portu
- Common Name: Sertifikanın Common Name değeri
- Not After: Sertifika son geçerlilik tarihi
- Deploy: Sertifika dağıtımı için
Sertifika Dağıtımı
Adım 1: Server Policy ve Sertifika Seçimi
- Automation > Devices bölümünden FortiWeb cihazınızı seçin
- Cihaz detaylarında, sertifika dağıtmak istediğiniz Server Policy veya SNI'ı bulun
- İlgili satırdaki Deploy butonuna tıklayın
- Açılan Deploy Certificate penceresinde:
- Server Policy/SNI: Hedef policy bilgisi görüntülenir
- Certificate: Açılır menüden dağıtmak istediğiniz sertifikayı seçin
Adım 2: Dağıtım İşlemini Başlatma
Deploy butonuna tıklayarak sertifika dağıtım işlemini başlatın.
Adım 3: İşlem Takibi
Dağıtım işlemi Automation > Processes bölümünden takip edilebilir:
İşlem Detayları
Dağıtım sırasında aşağıdaki adımlar gerçekleştirilir:
| Adım | İşlem Açıklaması |
|---|---|
| 1 | Sertifika dosyası cihaza yüklenir |
| 2 | Sertifika zinciri oluşturulur |
| 3 | Intermediate CA grubu oluşturulur |
| 4 | Zincir sertifikası CA grubuna eklenir |
| 5 | Server policy yeni sertifika ile güncellenir |
FortiWeb entegrasyonu, Server Policy bazlı sertifika güncellemelerini destekler. Dağıtım sırasında ilgili server policy'deki sertifika referansı otomatik olarak güncellenir.
SNI (Server Name Indication) Yönetimi
FortiWeb, SNI bazlı sertifika yönetimini destekler. SNI dağıtım işlemleri:
SNI İşlem Detayları
| Adım | İşlem Açıklaması |
|---|---|
| 1 | Sertifika dosyası cihaza yüklenir |
| 2 | Sertifika zinciri oluşturulur |
| 3 | Intermediate CA grubu oluşturulur |
| 4 | Zincir sertifikası CA grubuna eklenir |
| 5 | SNI member sertifikası güncellenir |
SNI member güncellemelerinde, mevcut sertifika referansları yeni sertifika ile override edilir. Bu sayede domain bazlı sertifika yönetimi kolaylaşır.
Geri Alma İşlemi
Sertifika dağıtımı sonrasında sorun yaşanması durumunda Manual Rollback özelliği kullanılabilir.
Dağıtım işlemi sırasında herhangi bir adımda hata oluşması durumunda, sistem otomatik olarak geri alma işlemini gerçekleştirir ve tüm değişiklikler geri alınır.
Geri Alma Adımları
- Automation > Processes bölümüne gidin
- Geri almak istediğiniz işlemi bulun
- Status sütununda Manual-Rollback seçeneğini kullanın
- Onay verin
Geri Alma Sırasında Gerçekleşen İşlemler
| Adım | Server Policy Rollback | SNI Rollback |
|---|---|---|
| 1 | Server policy eski sertifikaya geri alınır | SNI member eski sertifikaya geri alınır |
| 2 | Zincir sertifikası CA grubundan kaldırılır | Zincir sertifikası CA grubundan kaldırılır |
| 3 | Yüklenen zincir sertifikası silinir | Yüklenen zincir sertifikası silinir |
| 4 | Yüklenen sertifika silinir | Yüklenen sertifika silinir |