Página 1 de 1
Acceso web a Fortigate 60d
Publicado: 02 Nov 2015, 13:40
por Sat CMB
Hola a tod@s:
Hasta ayer siempre tenia acceso a mi Fortigate 60D via web sin problema, accediendo desde los navegadores (todos). Pero hoy me encuentro con el mensaje:
Firefox: "Ha ocurrido un error durante una conexión a 192.168.0.198. El otro extremo de la conexión SSL no puede verificar su certificado. (Código de error: ssl_error_bad_cert_alert) "
Chrome: "Error de autenticación basada en certificado ERR_BAD_SSL_CLIENT_AUTH_CERT"
El viernes me funcionaba todo bien pero hoy ya no, y no se ha cambiado nada del Fortigate... ¿Alguna idea?
Re: Acceso web a Fortigate 60d
Publicado: 02 Nov 2015, 16:28
por cmendoza
Hola.
Que versión de Firmware tienes en el FG? Has probado con otro navegador como el IE?
Hay unas versiones de firmware antiguas, que utilizan un tipo de protocolo SSL vulnerable, que los navegadores actuales bloquean... puede que te este ocurriendo eso.
Un saludo.
Re: Acceso web a Fortigate 60d
Publicado: 02 Nov 2015, 16:45
por Sat CMB
Hola cmendoza:
Tengo la versión 5.2.3, y los browsers son las ultimas versiones, tanto Chrome como Firefox o IE. Creo que por ahí van los tiros dado que he probado el acceso en un servidor que tengo con Chrome v.40 y alli me deja acceder sin problema, me da el mensaje de excepción, pero puedo acceder.
No se que hacer, dado que el acceso principal al FG lo debo hacer desde mi PC con Win 8.1 y las ultimas versiones de los browsers por seguridad.
Un abrazo y gracias por tus respuestas.
Re: Acceso web a Fortigate 60d
Publicado: 02 Nov 2015, 17:15
por cmendoza
Hola.
Entonces es posible que tengas que revisar el tipo de cifrado que utilizas para la web de administración.
a través del CLI, ejecuta
y fijate en el valor del parámetro
admin-https-ssl-versionslo mas seguro sería dejarlo así:
Código: Seleccionar todo
config system global
set admin-https-ssl-versions tlsv1-1 tlsv1-2
end
Un saludo.
Re: Acceso web a Fortigate 60d
Publicado: 02 Nov 2015, 17:48
por Sat CMB
Hola cmendoza:
He ejecutado el comando CLI get system global y el parámetro está como tu lo pones:
admin-https-ssl-versions: tlsv1-1 tlsv1-2
¿Alguna idea?
Re: Acceso web a Fortigate 60d
Publicado: 02 Nov 2015, 18:21
por cmendoza
Hola.
Prueba a cambiar el certificado de la web de administración...
Código: Seleccionar todo
config system global
set admin-server-cert <string>
end
Donde <string> puede ser esto (o algún certificado que tengas instalado en él):
Fortinet_CA_SSLProxy local
Fortinet_Factory (certificado que se instala de fábrica)
Fortinet_Firmware (certificado que esta incluido en el firmware)
Fortinet_SSLProxy local
Fortinet_Wifi local
Un saludo.
Re: Acceso web a Fortigate 60d
Publicado: 03 Nov 2015, 09:54
por Sat CMB
Buenos días cmendoza:
Me he descargado desde el FG el certificado Fortinet_CA_SSLProxy y lo he reinstalado en todos los browsers (Chrome, Firefox e IE) y ahora aunque da un aviso de "excepción" me permite el acceso al FG. La verdad es que no se que ha podido pasar.
No obstante, actualizaré el Firmware del FG a la ultima versión, que creo que es la 5.2.4, y yo tengo la anterior 5.2.3.
Muchas gracias por tu estimable ayuda.
Un saludo cordial.
Re: Acceso web a Fortigate 60d
Publicado: 03 Nov 2015, 11:49
por cmendoza
Hola...
Estupendo... no te quería poner en el peor de los casos, ya que con cierto modelo en el que almacenaba bastantes logs en el disco interno del FG, al final se estropeó el disco y no dejaba entrar en la consola (en este caso era desde cualquier navegador)... al reiniciarlo, el FG dejó de funcionar, por lo que tuve que realizar el RMA con Fortinet para que procedieran a su sustitución.
El problema es que esto no me paso solo con uno, sino con 4 FG 100D, que aunque estaban en cluster, tuvimos la suerte de que solo se iban rompiendo uno de cada.
Un saludo.