FortiGate支持SCEP与OCSP协议.pdfVIP

FortiGate 支持SCEP 和OCSP 协议 版本 1.0 时间 2013 年1 月 支持的版本 FortiOS v4.2.x, v4.3.x, v5.0.x 状态 已审核 反馈 support_cn@ 目 录 简介3 SCEP 和OCSP 协议介绍3 相关组件3 测试拓扑图3 FortiAuthenticator 配置4 FortiGate 配置5 测试8 简介 本例实现用SCEP 协议获取证书，在IPSec VPN 中配置证书认证，并通过OCSP 实时检测对端证书是否有效，以提高数据传输的安全性。 SCEP 和OCSP 协议介绍 SCEP ，Simple Certificate Enrollment Protocol 的缩写，是PKI 协议体系的一部 分。它能安全、可靠的为网络设备在线提供数字证书。 OCSP，Online Certificate Status Protocol 的缩写，是在线证书状态协议。当用 户试图在线证书状态协议根据需要，发送一个对于证书状态信息的请求，证书服 务器回复证书的有效、过期、未知或其他状态的响应，请求者根据响应结果作出 相应的动作。OCSP 克服了证书注销列表(CRL)的主要缺陷，即必须经常在客户端 下载CRL 列表以确保更新。 相关组件 FortiGate-51B/60C, v4.3.11, build0646 FortiAuthenticator-VM, v2.0 build058 FortiAuthenticator 是飞塔信息科技(北京)有限公司的专业安全认证设备，支 持双因素认证、RADIUS、LDAP、SSO、x.509 证书管理包括签发和注销，支持SECP 和OCSP 协议等。 测试拓扑图 FortiAuthenticator 配置 SCEP 需要配置，而OCSP 勿需配置。 SCEP 的配置步骤 1.创建根证书 2.启用SCEP 功能 3.创建SCEP 请求的挑战密码 三种方式获得挑战码：实时、短信及Email。以下为FG-51B 创建挑战码。 4.实时生成挑战密码，状态Pending 重复3、4 步，为FG-60C 生成挑战码 FortiGate 配置 5. 在FG-51B 上通过SCEP 协议获取本地证书 确认后FortiAuthenticator 自动批准并发放证书给FG-51B 在FortiAuthenticator 上观察状态为批准Approved 6. 在FG-51B 上通过SCEP 获取CA 证书 7. 在FG-51B 上配置OCSP (仅命令行) config vpn certificate ocsp set cert CA_Cert_1 #根证书 set url 11:2560 #指向FortiAuthenticator end 注意: 该配置的作用是按需验证对端FG-60C 证书的有效性，对本地证书不作校验。 8. 用作在IPSec 阶段1 验证对端证书 config user peer edit ca111 set ca CA_Cert_1 next end 9. IPSec VPN 配置 阶段1 阶段2 其他步骤参考类似文档 /index.php?m=contentc=indexa=showcatid=22id=147 10. 在FortiAuthenticator 上吊销FG-60C 的证书 吊销原因有多种，此处选择设备运行终止 测试 10. 执行OCSP 的进程是fnbamd ，开启此进程调试输出信息， 尝试建立IPSec 隧道，调试信息明确输出证书状态被吊销。 FG-51B # diagnose debug enable