Fortiegate 90D を学習用に買ったのですが、HTTPS通信ができないので、
オレオレ認証局で証明書を作成しました。その手順です。
Fortiegate にWebログインして システム → 証明書の画面で
生成をクリックします。
証明書署名要求を生成するになりますので、
サブジェクト情報は、ホストIPにして、FortiegateのローカルIPを入力します。
(後で、ドメイン名でアクセスするためドメイン名に変更しました。
DNSサーバは社内向けに構築したものを使用しています。)
その他の情報は適当に。
サブジェクトの別名もローカルIPを入れておきました。
次に認証局ですが。
私はCentOS7で
CentOS 7 で自己認証局とサーバー証明書を作成するメモ | ぶっちろぐ
を参考にして認証局を作成してありました。
Centos7上の任意のディレクトリで、sans_fortie.cnfを作成します。
subjectAltName=@subject_alt_names
[ subject_alt_names ]
DNS.1 = (ドメイン名を入れます)
IP.1 = 192.168.*.**** (Fortiegate のローカルIPアドレス)
次に
openssl ca -in server.csr -keyfile /etc/pki/CA/private/ca.key -cert /etc/pki/CA/ca.crt -out my_fortiegate.crt -config /etc/pki/tls/openssl-server.cnf -extfile sans_fortie.cnf
で作成されたmy_fortiegate.crt が完成した証明書です。これをダウンロードして
WebアクセスしたFortiegate の証明書のところで、ローカル証明書を選択してアップロードします。
Fortigateのシステム→設定で
HTTPS証明書をアップロードしたものに変更して、適用します。
これでできました。
※追記 ドメイン名でアクセスするために証明書を作り直すときに、証明書署名要求を二度使ったらエラーになりハマりました。
ご注意ください。エラーが出たら
SSL証明書の作成での failed to update database TXT_DB error number2 発生時の対処 | グーフー WordPressのためのLinuxノート
を参考にして下さい。
サブジェクトをドメイン名にして、別名にドメイン名とIPを設定したところ、
IPでもドメイン名でも無事アクセスできるようになりました。
