【简介】FortiGate Security Fabric根设备可以连接到FortiClient EMS (Endpoint Management System)和FortiClient EMS Cloud(基于云的EMS解决方案),用于端点连接和自动化。安全架构中最多可以添加3台EMS服务器,包括1台FortiClient EMS云服务器。EMS设置在所有fabric成员之间同步。
FortiGate 配置说明书
为了更好的了解配置方法,我们可以先查看官方说明文档内容。
① 浏览打开网站https://docs.fortinet.com,产品快速链接处选择【FortiGate】。
② FortiClient EMS的版本是7.0.6,这里我们建议防火墙的固件版本也相同。版本选择【7.0】,管理员手册选择【7.0.6】。
③ 文档内容很多,我们可以利用搜索功能快速找到我们需要的内容。搜索栏输入【forticlient ems】。
④ 选择【Configuring FortiClient EMS】。
⑤ 显示FortiGate防火墙配置FortiClient EMS内容。
FortiGate 配置
现在我们有了说明书了,配置过程有问题可以随时查看。
① 登录防火墙,选择菜单【系统管理】-【可见功能】,启用【终端控制】,点击【应用】。
② 选择菜单【Security Fabric】-【Fabric连接器】,双击【FortiClient EMS】。
③ FortiClient EMS设置选项,默认选择【FortiClient EMS】,输入名称、IP地址和端口号,点击【应用】。
④ 名称、IP地址和端口号,在FortiClient EMS的【System Settings】-【EMS Settings】里可以找到。
⑤ 出现报错提示,需要安装CA证书到FortiGate。
⑥ 虽然FortiClient EMS配置完了,但是红色向下箭头,说明还是没有运行成功。
导出证书
错误提示需要CA证书,我们去哪里找CA证书呢?
① 还好我们在官方文档中找到解决方法。
② 在安装了FortiClient EMS的服务器上,左下解搜索栏输入cer,就会出现匹配的内容,点击【管理用户证书】。
③ 管理证书窗口点击目录【受信任的根证书颁发机构】-【证书】,然后在右边窗口找到FortiClient EMS证书,点击鼠标右键,弹出菜单选择【所有任务】-【导出】。
④ 出现证书导出向导,点击【下一步】。
⑤ 证书格式选择【Base64 编码 x.509】,千万不能选错了,点击【下一步】。
⑥ 导出文件点击【浏览】。
⑦ 选择文件存放于桌面,输入文件名,不用加扩展名,点击【保存】。
⑧ 生成保存路径,点击【下一步】。
⑨ 全部配置后,点击【完成】,在桌面上可以看到导出的证书文件。
导入证书
现在我们已经得到证书了,下一步就是将证书导入到FortiGate防火墙了。
① 防火墙选择菜单【系统管理】-【可见功能】,启用【证书】,点击【应用】。
② 系统管理下面多出了证书子菜单,选择【系统管理】-【证书】,点击【Creat/Import】,选择【CA证书】。
③ 类型选择【文件】,找到存放在桌面的证书文件,点击【确认】。
④ 在证书列表里,可以找到刚才导入的FortiClient EMS证书。
通过认证
既然FortiGate防火墙已经得到FortiClient EMS的证书了,那么我们可以继续完成认证了。
① 防火墙选择菜单【Security Fabric】-【Fabric连接器】,双击【FortiClient EMS】,状态为红色向下箭头。
② 现在不再出现证书错误提示,右边提示证书没有被验证,点击【准许】。
③ 显示验证证书提示,点击【接受】。
④ 显示需要FortiClient EMS也能通过验证,点击【准许】将打开FortiClient EMS。这里我们保持不动。
⑤ 关闭已经打开的FortiClient EMS,再重新打开登录,会弹出认证提示窗口,点击【Authorize】。
⑥ 回到FortiGate防火墙,点击【刷新】,可以FortiGate通过了FortiClient EMS认证。
⑦ 这次FortiClient EMS状态标图是绿色向上箭头,表示运行正常。
⑧ 回到FortiClient EMS,选择菜单【Administration】-【Fabric Devices】,可以看到防火墙的信息。这样它们之间就可以互相通信了。