Comunidad FORTIGATE.es

Hola. Recientemente en la empresa en la que trabajo ha surgido la necesidad de que algunos empleados puedan trabajar desde casa. Disponemos de un FortiGate 80 C con Firmware v4.0 MR1 Patch3. He configurado una VPN SSL para utilizar en modo tunel, y he conseguido que funcione correctamente utilizando el forticlient en el lado del usuario. Sin embargo queremos tener mas controlado el acceso. ¿Podrian informarme porfavor de como va el tema de los certificados?

He leido los manuales de configuracion de una VPN SSL, pero no informan mucho acerca de los certificados. Lo que necesitariamos seria por ejemplo generar un certificado único para cada usuario, para que lo importe en el forticlient, de forma que ese certificado solo sirva para ese usuario.
Ademas me gustaria saber como asignar IPs fijas por usuario cuando estos se conecten a la VPN.
Saludos y muchisimas gracias de antemano.

Hola, como estas? el teme de los cerificados es complejo. tendras que leer cetificados, CA, etc.
LUEGO SE APLICA EN EL FORTIGATE, Y TAMBIEN EN EL SSL.

SALUDOS

Ok. Podrias indicarme algún manual específico de donde pueda sacar información sobre como utilizar los certificados?
Sobre lo de asignar una IP fija a cada usuario de la VPN , puedo preguntarlo en este tema o tengo que abrir uno nuevo?
Gracias, saludos.

Hola en la url [Debes identificarte para poder ver enlaces.] haciendo una busque de certificates podes encontrar info sobre esto.

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

Tambien podes ver info en en los manuales:
[Debes identificarte para poder ver enlaces.]
SALUDOS

Implementar SSL VPN con certificados de usuario tiene su complejidad aunque una vez que lo ves en su conjunto es más sencillo de lo que parece. Yo lo uso porque como tu bien dices, a parte de la autenticación usuario - contraseña cada usuario necesita su certificado de cliente para poder logarse en el sistema. Es más, puedes llegar incluso a prescindir de dicho usuario y contraseña y basar tu autenticación sólo en dicho certificado (usando PKI). Lo que te recomiendo para empezar a verlo es lo siguiente.

Montarse una entidad certificadora, tu propia CA standalone para no tener que recurrir a terceros. Lo más sencillo para ello es que recurras a un Windows 2003 Server Standard (no hace falta que sea miembro de ningún dominio, con que sea standalone te valdría). Hay infinidad de manuales muy sencillos y aunque esto lo puedes hacer con Linux, si es tu primera experiencia con entidades y con certificados hazlo primero en Windows para que no lo veas como algo inalcanzable.
Con ella montada, automáticamente tendrás toda la parte de certificados de cliente también disponible. Conectándose por web a ese Windows 2003 donde has montado la CA, tus usuarios, o tu mismo, podrán solicitar su correspondiente certificado de cliente.
Un administrador o tu mismo tendrá que validar o revocar los certificados pedidos antes de que los usuarios nuevamente por web obtengan sus certificados firmados.
Los clientes tendrán que instalarse tu CA dentro de entidades certificadoras raíz de confianza.
Tendrán que importarse los certificados de cliente que tu les has firmado tras su petición.
Al Fortinet le tendrás que importar la entidad certificadora (CA) que has creado con tu Windows 2003.
A parte le tendrás que importar la lista de revocación de certificados (CRL).

Básicamente se trata de eso.

Ok, muchisimas gracias.Trataré de tirar por ahi. De todas formas, yo creí que todo eso lo podia hacer desde el propio Forti. Es decir, que el Forti ya podia funcionar como CA.
Saludos.

El Fortigate no funciona como CA. Además necesitarías la parte de los certificados de cliente, la lista de revocación, la parte donde submitir y aprobar las peticiones... necesitas algo que haga toda esa parte.