« Fortigate: Demander un certificat LetsEncrypt derrière un reverse proxy Apache » : différence entre les versions
(Page créée avec « Category:FortinetCategory:FortigateCategory:FortiOS 7.0 Je reviendrais pas sur la partie requête du certificat, la documentation officielle fonctionne très… ») |
Aucun résumé des modifications |
||
Ligne 1 : | Ligne 1 : | ||
{{Auteur|Adadov}} | |||
{{Warning|Cette fonctionnalité n'existe qu'à partir de FortiOS 7.0}} | |||
Je reviendrais pas sur la partie requête du certificat, la documentation officielle fonctionne très bien. Vous pouvez la trouver ici: http://docs.fortinet.com/document/fortigate/7.0.0/new-features/822087/acme-certificate-support | Je reviendrais pas sur la partie requête du certificat, la documentation officielle fonctionne très bien. Vous pouvez la trouver ici: http://docs.fortinet.com/document/fortigate/7.0.0/new-features/822087/acme-certificate-support | ||
Ligne 25 : | Ligne 25 : | ||
SSLProxyCheckPeerExpire off | SSLProxyCheckPeerExpire off | ||
</source> | </source> | ||
[[Category:Fortinet]][[Category:Fortigate]][[Category:FortiOS 7.0]] |
Version du 4 mai 2021 à 16:27
Cette fonctionnalité n'existe qu'à partir de FortiOS 7.0 |
Je reviendrais pas sur la partie requête du certificat, la documentation officielle fonctionne très bien. Vous pouvez la trouver ici: http://docs.fortinet.com/document/fortigate/7.0.0/new-features/822087/acme-certificate-support
Si vous avez choisi, pour ACME, une interface qui permet d'accéder à l'admin du fortigate les ports par défaut doivent obligatoirement être modifié pour http.
Ensuite il faudra configurer votre reverse proxy dans apache de la manière suivante:
<VirtualHost *:80>
ServerName FORTIGATEFQDN
ProxyPass / http://FORTIGATEIP/
ProxyPassReverse / http://FORTIGATEIP/
ProxyPreserveHost On
</VirtualHost>
Si vous souhaitez en profiter pour ajouter des reverse proxy afin d'accéder à l'admin on peut le faire simplement il vous faudra probablement demander à apache de ne pas vérifier le certificat du fortigate afin de ne pas risquer d'être bloqué.
On peut le faire en ajoutant les options suivantes dans le vhost:
SSLProxyEngine On
SSLProxyCheckPeerCN off
SSLProxyCheckPeerExpire off