Fortinet Cấu hình tính năng SSL Decryption để giải mã các traffic được mã hóa

Phần 1: Cấu hình trên FortiGate​

1. Tải CA Certificate của FortiGateĐể thực hiện giải mã SSL (hoạt động theo cơ chế Man-in-the-Middle), FortiGate sẽ tự động cấp phát chứng chỉ giả mạo cho các trang web HTTPS. Bạn cần tải chứng chỉ Root CA của FortiGate để cài lên client.

• Truy cập giao diện Web của FortiGate.
• Đi tới System > Certificates.
• Tìm chứng chỉ có tên mặc định là Fortinet_CA_SSL (hoặc chứng chỉ CA nội bộ của tổ chức bạn nếu có).
• Chọn chứng chỉ đó và nhấn Download. File tải về thường có định dạng .cer hoặc .crt.

2. Cấu hình SSL/SSH Inspection Profile

• Đi tới Security Profiles > SSL/SSH Inspection.
• Bạn có thể chỉnh sửa profile custom-deep-inspection có sẵn hoặc tạo mới (Create New).
• Trong mục Inspection Options, chọn Custom Deep Inspection (hoặc Multiple Clients Connecting to Multiple Servers).
• Tại mục CA Certificate, chọn chứng chỉ Fortinet_CA_SSL (chứng chỉ bạn vừa tải về).
• Đảm bảo các giao thức như HTTPS, SMTPS, POP3S, IMAPS được tick chọn ở cột Inspect.
• Nhấn OK để lưu.

3. Áp dụng vào Firewall Policy

• Đi tới Policy & Objects > Firewall Policy.
• Tạo mới hoặc chỉnh sửa policy cho phép truy cập mạng (ví dụ: từ cổng LAN ra cổng WAN).
• Trong phần Security Profiles, bật các tính năng kiểm tra mà bạn muốn áp dụng sâu vào dữ liệu (như AntiVirus, Web Filter, Application Control, IPS). Tính năng SSL Inspection chỉ thực sự có giá trị khi các profile bảo mật này được bật.
• Bật mục SSL Inspection và chọn profile custom-deep-inspection vừa cấu hình ở bước 2.
• Nhấn OK để lưu và áp dụng policy.

Phần 2: Cài đặt chứng chỉ trên Client​

Cài đặt chứng chỉ cho Trình duyệt web (Quan trọng)
Một số trình duyệt trên Linux (đặc biệt là Mozilla Firefox và đôi khi là Google Chrome/Chromium) sử dụng kho lưu trữ chứng chỉ độc lập (NSS database) thay vì dùng chung kho của hệ điều hành. Bạn phải import thủ công vào trình duyệt:

• Đối với Firefox:
  1. Mở Firefox, vào Settings (Cài đặt) > Privacy & Security (Quyền riêng tư & Bảo mật).
  2. Kéo xuống phần Certificates (Chứng chỉ), nhấn vào View Certificates... (Xem chứng chỉ).
  3. Chuyển sang tab Authorities (Tổ chức phát hành), nhấn Import... (Nhập).
  4. Chọn file Fortinet_CA_SSL.cer.
  5. Tick vào ô Trust this CA to identify websites (Tin cậy CA này để xác định các trang web) và nhấn OK.
• Đối với Chrome/Edge/Brave trên Linux:
  1. Vào Settings > Privacy and security > Security > Manage certificates.
  2. Chuyển sang tab Authorities.
  3. Nhấn Import và làm tương tự như trên, chọn tin cậy chứng chỉ để xác thực trang web.

Kiểm tra cấu hình​

Sau khi hoàn tất, hãy mở trình duyệt trên máy Linux và truy cập một trang web HTTPS bất kỳ (ví dụ: https://www.google.com).

• Bấm vào biểu tượng ổ khóa cạnh thanh địa chỉ.
• Xem chi tiết chứng chỉ (View Certificate).
• Nếu phần "Verified by" hoặc "Issuer" hiển thị là Fortinet (hoặc tên chứng chỉ CA bạn đã đặt) thay vì tên CA gốc của Google, điều đó có nghĩa là FortiGate đã đứng giữa giải mã thành công và đang kiểm tra sâu các luồng traffic của bạn.