Mit dem FortiOS 7 kam endlich auch der Letsencrypt Support. Bedeutet, man kann die kostenlosen Letsencrypt Zertifikate, aktuell mit einer maximalen Laufzeit von 3 Monaten, direkt in der GUI der Fortigate ausstellen und auch automatisch verlängern lassen. Diese Zertifikate kann man dann bspw. für die Management Oberfläche aber auch für das SSL-VPN Portal verwenden. Da nun auch der erste „stable“ Patch von FortiOS 7 mit der Version 7.0.6 veröffentlicht wurde, konnte ich das direkt mal testen…
Der ganze Vorgang ist relativ simpel. Man braucht lediglich einen öffentlichen DNS Namen und eine öffentliche IP für den VPN Zugriff, was ja meistens bereits der Fall ist und schon kann’s losgehen.
- Falls der öffentliche DNS Eintrag für den Zugriff auf SSL-VPN noch nicht gesetzt ist, tut man das jetzt. Hier ein Beispiel für das Setzen des A-Records bei Cloudflare.
- Anschließend beantragt man auf der Fortigate das Lets Encrypt Zertifikat. Übrigens, wenn VDOMs aktiviert sind, kann man das Zertifikat in der „Global“ VDOM erstellen, dann können es alle VDOMs verwenden, anderenfalls beantragt man das Zertifikat in der entsprechend gewünschten VDOM und es ist dann auch nur in dieser VDOM verfügbar. Zudem ist das gesamte Thema Letsencrypt Zerttifikate bisher (noch) nicht in der FortiManager GUI verfügbar, zumindest nicht in der aktuellsten 7er Version mit Patch 7.0.4. Insofern muss man sich hier evtl. mit einem Script behelfen.
Bei „Domain“ wird jetzt der FQDN des A-Records eingetragen…
Anschließend kann man sich die Details anschauen…
- Jetzt das Zertifikat an das Management Interface binden…
- Und für SSL-VPN verwenden
Jetzt ist das Zertifikat am SSL-VPN Portal präsentiert.
Ab sofort ist das VPN-Portal immer mit einem gültigen Zertifikat versehen, denn er in FortiOS integrierte ACME Client erneuert automatisch das Zertifikat.
Am Fortimanager ist das Zertifikat und auch die CA von LetsEncrypt ebenfalls sichtbar.