Modification de Fortigate: Demander un certificat LetsEncrypt derrière un reverse proxy Apache

Attention : vous n’êtes pas connecté(e). Votre adresse IP sera visible de tout le monde si vous faites des modifications. Si vous vous connectez ou créez un compte, vos modifications seront attribuées à votre propre nom d’utilisateur(rice) et vous aurez d’autres avantages.

La modification peut être annulée. Veuillez vérifier les différences ci-dessous pour voir si c’est bien ce que vous voulez faire, puis publier ces changements pour finaliser l’annulation de cette modification.

Version actuelle Votre texte
Ligne 1 : Ligne 1 :
{{Auteur|Adadov}}
{{Auteur|Adadov}}
{{Warning|Cette fonctionnalité n'existe qu'à partir de FortiOS 7.0}}
{{Warning|Cette fonctionnalité n'existe qu'à partir de FortiOS 7.0}}
== Introduction ==
LetsEncrypt utilise obligatoirement les ports par défaut pour vérifier la propriété d'un FQDN, ce qui dans le cas d'un Fortigate peut poser problème. En effet il est possible que le port 80 ai été redirigé vers un serveur web rendant impossible l'utilisation directe.
Dans ce cas il est possible d'ajouter sur le serveur web vers lequel est redirigé le port 80 un reverse proxy afin de renvoyer vers une interface du Fortigate qui sera utilisée par le client LetsEncrypt interne.
== Configuration Fortigate ==
Je reviendrais pas sur la partie requête du certificat, la documentation officielle fonctionne très bien. Vous pouvez la trouver ici: http://docs.fortinet.com/document/fortigate/7.0.0/new-features/822087/acme-certificate-support
Je reviendrais pas sur la partie requête du certificat, la documentation officielle fonctionne très bien. Vous pouvez la trouver ici: http://docs.fortinet.com/document/fortigate/7.0.0/new-features/822087/acme-certificate-support


Si vous avez choisi, pour ACME, une interface qui permet d'accéder à l'admin du Fortigate les ports par défaut doivent obligatoirement être modifié pour http.
Si vous avez choisi, pour ACME, une interface qui permet d'accéder à l'admin du fortigate les ports par défaut doivent obligatoirement être modifié pour http.
 
L'IP de l'interface choisi sera celle à utiliser dans votre configuration Apache pour FORTIGATE_INTERFACE_IP.


== Configuration Apache ==
Ensuite il faudra configurer votre reverse proxy dans apache de la manière suivante:
Ensuite il faudra configurer votre reverse proxy dans apache de la manière suivante:


Ligne 21 : Ligne 11 :
ServerName FORTIGATEFQDN
ServerName FORTIGATEFQDN


ProxyPass / http://FORTIGATE_INTERFACE_IP/
ProxyPass / http://FORTIGATEIP/
ProxyPassReverse / http://FORTIGATE_INTERFACE_IP/
ProxyPassReverse / http://FORTIGATEIP/
ProxyPreserveHost On
ProxyPreserveHost On
</VirtualHost>
</VirtualHost>
Notez bien que toutes les contributions à Adadov.net wiki peuvent être modifiées, transformées ou supprimées par d’autres utilisateurs. Si vous ne désirez pas que vos écrits soient modifiés contre votre gré, merci de ne pas les soumettre ici.
Vous nous promettez aussi que vous avez écrit ceci vous-même ou que vous l’avez copié d’une source placée dans le domaine public ou d’une ressource libre similaire (voir AdadovNet:Copyrights pour plus de détails). N’utilisez aucun travail sous droits d’auteur sans autorisation expresse !
Annuler Aide pour la modification (s’ouvre dans une nouvelle fenêtre)

Modèles utilisés par cette page :

Récupérée de « https://wiki.adadov.net/Fortigate:_Demander_un_certificat_LetsEncrypt_derrière_un_reverse_proxy_Apache »