Fortigate: Demander un certificat LetsEncrypt derrière un reverse proxy Apache

De Adadov.net wiki
Révision datée du 4 mai 2021 à 14:24 par Adadov (discussion | contributions) (Page créée avec « Category:FortinetCategory:FortigateCategory:FortiOS 7.0 Je reviendrais pas sur la partie requête du certificat, la documentation officielle fonctionne très… »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)


Je reviendrais pas sur la partie requête du certificat, la documentation officielle fonctionne très bien. Vous pouvez la trouver ici: http://docs.fortinet.com/document/fortigate/7.0.0/new-features/822087/acme-certificate-support

Si vous avez choisi, pour ACME, une interface qui permet d'accéder à l'admin du fortigate les ports par défaut doivent obligatoirement être modifié pour http.

Ensuite il faudra configurer votre reverse proxy dans apache de la manière suivante:

<VirtualHost *:80>
	ServerName FORTIGATEFQDN

	ProxyPass / http://FORTIGATEIP/
	ProxyPassReverse / http://FORTIGATEIP/
	ProxyPreserveHost On
</VirtualHost>

Si vous souhaitez en profiter pour ajouter des reverse proxy afin d'accéder à l'admin on peut le faire simplement il vous faudra probablement demander à apache de ne pas vérifier le certificat du fortigate afin de ne pas risquer d'être bloqué.

On peut le faire en ajoutant les options suivantes dans le vhost:

    SSLProxyEngine On
    SSLProxyCheckPeerCN off
    SSLProxyCheckPeerExpire off