Problem
Wird eine Block Meldung der FortiGate zum Beispiel wegen dem Webfilter angezeigt und die aufgerufene Seite ist eine Seite mit HTTPS, wird auch die Block Seite in HTTPS angezeigt. Damit die Block Seite für HTTPS angezeigt werden kann, braucht es ein Zertifikat. Standardmässig nimmt die FortiGate das eigene CA Zertifikat und stellt damit ein neues für die aufgerufene Seite aus. Daher zeigt jeder Browser eine Zertifikats-Fehlermeldung an, da er diesem CA Zertifikat der FortiGate nicht vertraut.
Lösung
Einstellungen auf der FortiGate
Damit man auf der FortiGate Zertifikate verwalten kann, muss das Feature «Certificates» angezeigt werden.
Danach erscheint ein zusätzlicher Menüpunkt unter System, mit welchem die Zertifikate angeschaut und verwaltet werden können.
Das CA Zertifikat, welches die Block Seite signiert, findet man unter Local CA Certificates → Fortinet_CA_SSL
CA Zertifikat im Browser vertrauen
Damit der Browser keine Fehlermeldung mehr anzeigt, muss dieses CA Zertifikat im Browser in den «Vertrauenswürdigen Stammzertifikaten» eingefügt werden. Laden Sie dazu das CA Zertifikat herunter im WebGUI der FortiGate und fügen Sie dieses im jeweiligen Browser ein.
Danach erscheint die Block Meldung als vertrauenswürdig:
Guten Tag
Das funktioniert soweit wunderbar in Domänen-Umgebungen, wo sich das Zertifikat per Gruppenrichtlinie an die Clients verteilen lässt. Etwas schwieriger wird es in BYOD-Umgebungen da dem Benutzer nicht zugemutet werden kann, das Zertifikat auf seinem Gerät zu installieren!
Gibt es dafür auch eine Lösung?
Hallo Herr Oetterli
Genau das Problem haben Sie leider mit BYOD. Ich kenne keine Lösung, da Sie kein offizielles Zertifikat kriegen, welches neue Zertifikate ausstellen kann. Was Sie machen könnten, ist die Block Mesage auszuschalten für das BYOD Netz: https://kb.fortinet.com/kb/documentLink.do?externalID=FD38641
Freundliche Grüsse
Michael Peter