【Fortigate】SSL-VPNでちゃんとした証明書を使う手順【GMO】その1 




今までSSL証明書なんてオレオレでいいやと思っていたのですが
会社でSSL-VPNをユーザリリースするにあたり、知識メッキ剥げ乙、ってなってしまい
仕方なく家で勉強してみることにしました。

適当ですが、この辺完全に素人がやろうとした時って結構困って
ネットにはFortigateへの証明書インストールは書いてあるんだけど
肝心の証明書ってそもそもどうやってもらうの?って部分が書いてない。

今回はGMOの展開する「お名前.com」を使って発行したので
そのやり方を紹介したいと思います。



■■■■おおまかな流れ■■■■
■1 固定IPを取得する(とらなくてもいい)
■2 お名前.comでドメイン名を取得する
■3 Fortigateにホスト名とドメインを設定
■4 お名前.comでAレコードにFortigateのWAN IP を登録
■5 お名前.com でadmin@kokoronfe.shop のメール転送設定をする
■6 Fortigateで証明書要求(CSR)を生成する
■7 SSL証明書を申し込む
■8 承認メールが来るのでポチッと承認
■9 お名前.comで証明書をDLする
■10 Fortigateで証明書をインポートする
■11 VPN>SSL>設定>サーバ証明書でインポートした証明書を選択する
■12 SSL接続をすると、エラーが消えてAlphaSSLが発行した証明書になる


ーーーーーーーーーーーーーーーーーーーーーーーーーーー

まずデフォルト状態でSSL-VPNを設定して接続してみます。






所謂オレオレ状態。
Fortinetは本格的にオレオレ証明書を排除しにかかってきていて
OS5.4だと結構うるさく怒られます。セキュリティ会社なので当たり前ですね。



ーーーーーーーーーーーーーーーーーーーーーーーーーーー

今回取得するドメイン:kokoronfe.shop
Fortigateホスト名:forti.kokoronfe.shop

ーーーーーーーーーーーーーーーーーーーーーーーーーーー

■1 固定IPを取得する(とらなくてもいい)
固定IPはとらなくてもいいですが、今回月額1200円だし、普通のプロバイダと
そんなに変わらないので固定IP1個を取得することにしました。

http://gmobb.jp/

お名前.comと同じGMOが提供するとくとくBB。
とくとくBBでBB Naviってアカウントを作っておくと
お名前.comでも使えるからアカウントは作っておこう。

PPPoEアカウントは速攻で使えるようになります。


ーーーーーーーーーーーーーーーーーーーーーーーーーーー

■2 お名前.comでドメイン名を取得する

http://www.onamae.com/


SSLサーバ証明書が無料の.shopドメインを1個取得しました。
適当にカートに入れて進めます。
whois登録代行は必ずチェックしておきましょう。


続く

Leave a comment

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください