FGT: CA Zertifikat für Webfilter Block Pages

Problem

Wird eine Block Meldung der FortiGate zum Beispiel wegen dem Webfilter angezeigt und die aufgerufene Seite ist eine Seite mit HTTPS, wird auch die Block Seite in HTTPS angezeigt. Damit die Block Seite für HTTPS angezeigt werden kann, braucht es ein Zertifikat. Standardmässig nimmt die FortiGate das eigene CA Zertifikat und stellt damit ein neues für die aufgerufene Seite aus. Daher zeigt jeder Browser eine Zertifikats-Fehlermeldung an, da er diesem CA Zertifikat der FortiGate nicht vertraut.

Lösung

Einstellungen auf der FortiGate

Damit man auf der FortiGate Zertifikate verwalten kann, muss das Feature «Certificates» angezeigt werden.

Danach erscheint ein zusätzlicher Menüpunkt unter System, mit welchem die Zertifikate angeschaut und verwaltet werden können.

Das CA Zertifikat, welches die Block Seite signiert, findet man unter Local CA Certificates → Fortinet_CA_SSL

CA Zertifikat im Browser vertrauen

Damit der Browser keine Fehlermeldung mehr anzeigt, muss dieses CA Zertifikat im Browser in den «Vertrauenswürdigen Stammzertifikaten» eingefügt werden. Laden Sie dazu das CA Zertifikat herunter im WebGUI der FortiGate und fügen Sie dieses im jeweiligen Browser ein.

Danach erscheint die Block Meldung als vertrauenswürdig:

2 thoughts on “FGT: CA Zertifikat für Webfilter Block Pages

  1. Patrik Oetterli Reply

    Guten Tag
    Das funktioniert soweit wunderbar in Domänen-Umgebungen, wo sich das Zertifikat per Gruppenrichtlinie an die Clients verteilen lässt. Etwas schwieriger wird es in BYOD-Umgebungen da dem Benutzer nicht zugemutet werden kann, das Zertifikat auf seinem Gerät zu installieren!
    Gibt es dafür auch eine Lösung?

Leave a Reply

Your email address will not be published. Required fields are marked *