FortiGateのバージョン7.0以降では、SSL/SSHインスペクションの「certificate-inspection」「custom-deep-inspection」「deep-inspection」を有効にしている場合、クライアント端末がサーバーへアクセスする前にFortigateがアクセス先のサーバに対し証明書の検査を実行します。
この証明書検査でエラーが出た場合、デフォルトでブロックする挙動がなされ、一部Webページで通信不可が発生することがあります。
セキュリティプロファイル>SSL/SSHインスペクション をご確認のうえ、「certificate-inspection」「custom-deep-inspection」「deep-inspection」の設定をご確認ください。
このブロックを回避するには対象プロファイルの「cert-probe-failure」 のアクションを「allow」に変更します。
config firewall ssl-ssh-profile
edit <certificate profile name>
config <protocol name>
set cert-probe-failure {allow | block}
end
next
end
初期状態で用意されているプロファイル「certificate-inspection」「custom-deep-inspection」「deep-inspection」のhttpsプロトコルはblockの設定になっています。
コメント欄に"Read-only~”とあるプロファイルは編集できません。新規作成で新たにプロファイルを作成するか、GUIで既存プロファイルをクローンしてから新しいプロファイルを編集し、ファイアウォールポリシーにセットしてください。
参考:Fortinet - Troubleshooting Tip: How to allow HTTPS (port 443)...
コメント欄に"Read-only~”とあるプロファイルは編集できません。新規作成で新たにプロファイルを作成するか、GUIで既存プロファイルをクローンしてから新しいプロファイルを編集し、ファイアウォールポリシーにセットしてください。
参考:Fortinet - Troubleshooting Tip: How to allow HTTPS (port 443)...
