এই গাইডটি দেখায় যে কীভাবে এক্সটার্নাল অ্যাকাউন্ট বাইন্ডিং (ইএবি) সহ ACME প্রোটোকল ব্যবহার করে ফোর্টিগেট ফায়ারওয়ালগুলিতে SSL শংসাপত্রগুলি ইনস্টল এবং স্বয়ংক্রিয় করা যায়, নিরাপদ অটোমেশনের জন্য স্ট্যান্ডার্ড বাণিজ্যিক সার্টিফিকেট কর্তৃপক্ষ ব্যবহার করে।

আপনি মোতায়েন করার দুটি উপায় শিখবেন:
- ইএবি শংসাপত্রের সাথে নেটিভ ফোর্টিগেট এসিএমই ইন্টিগ্রেশন
- ACME.sh সহ বহিরাগত ইস্যু, তারপরে ফোর্টিগেটে আমদানি করা হয়
উভয় পদ্ধতিই বাণিজ্যিক ACME এন্ডপয়েন্টগুলির সাথে সামঞ্জস্যপূর্ণ যা KID + HMAC প্রমাণীকরণের মাধ্যমে শংসাপত্র প্রদান করে।
আপনি শুরু করার আগে
আপনার প্রয়োজন হবে:
- FortiGate 7.6.0 বা নতুন ( পূর্ববর্তী সংস্করণগুলি EAB সমর্থন করে না)
- ফোর্টিগেট সিএলআইতে রুট বা অ্যাডমিন অ্যাক্সেস
- আপনার শংসাপত্র সরবরাহকারীর কাছ থেকে ACME ডিরেক্টরি URL
- ইএবি শংসাপত্র (কী আইডি + এইচএমএসি কী)
- আপনার ফোর্টিগেটের সর্বজনীন আইপির দিকে নির্দেশ করে বৈধ এ/এএএএ ডিএনএস রেকর্ড সহ একটি ডোমেন নাম
- HTTP-01 বৈধতার জন্য পোর্ট 80 ইন্টারনেট থেকে পৌঁছানো যায়
ধাপ 1: আপনার ফার্মওয়্যার সংস্করণ পরীক্ষা করুন
আপনার FortiOS সংস্করণটি পরীক্ষা করতে কমান্ড লাইন ইন্টারফেস ব্যবহার করুন:
get system status
ফোর্টিওএস 7.6.0 বা তার চেয়ে নতুন প্রদর্শিত হয়েছে তা নিশ্চিত করুন। যদি তা না হয় তবে প্রথমে আপগ্রেড করুন। পুরানো সংস্করণগুলি অন্তর্ভুক্ত নয় acme-eab-key-id এবং ক্ষেত্রগুলিacme-eab-key-hmac।
ধাপ 2: ACME এর জন্য একটি স্থানীয় শংসাপত্র অবজেক্ট তৈরি করুন
নীচের কমান্ডটি চালান:
config vpn certificate local
edit "acme-vpn-cert"
set enrollment acme
set acme-ca-url "https://acme.yourca.com/v2/acme"
set acme-eab-key-id "YOUR_EAB_KID"
set acme-eab-key-hmac "YOUR_EAB_HMAC_KEY"
set acme-email "[email protected]"
set acme-domain "vpn.example.com"
set acme-auth-url "http://vpn.example.com/.well-known/acme-challenge"
set auto-regenerate-days 30
set auto-regenerate enable
next
end
এই কমান্ডটি একটি নতুন স্থানীয় সার্টিফিকেট অবজেক্ট acme-vpn-cert তৈরি করে এবং ফোর্টিগেটকে বহিরাগত অ্যাকাউন্ট বাইন্ডিংয়ের সাথে ACME প্রোটোকল ব্যবহার করে স্বয়ংক্রিয়ভাবে আপনার বাণিজ্যিক CA থেকে অনুরোধ এবং পুনর্নবীকরণ করতে বলে।
মূল অংশগুলি ব্যাখ্যা করা হয়েছে:
set enrollment acme: ফোর্টিগেটকে জানায় যে এই শংসাপত্রটি ACME এর মাধ্যমে পরিচালিত হবে, ম্যানুয়ালি আমদানি করা হবে না।set acme-ca-url: আপনার সার্টিফিকেট কর্তৃপক্ষের ACME ডিরেক্টরি এন্ডপয়েন্ট।-
set acme-eab-key-id/:set acme-eab-key-hmacআপনার ইএবি শংসাপত্র (কেআইডি এবং এইচএমএসি) যা সিএ-র সাথে আপনার অ্যাকাউন্টকে অনুমোদন দেয়। set acme-email: পুনর্নবীকরণ বিজ্ঞপ্তি এবং CA যোগাযোগের জন্য ব্যবহৃত।set acme-domain: ফোর্টিগেট ডোমেইনটি বৈধ এবং সুরক্ষিত হবে।set acme-auth-url: এইচটিটিপি অবস্থান যেখানে সিএ এসিএমই চ্যালেঞ্জ স্থাপন করে এবং যাচাই করে।-
set auto-regenerateএবং:auto-regenerate-daysমেয়াদ শেষ হওয়ার আগে স্বয়ংক্রিয় পুনর্নবীকরণ সক্ষম করুন।
ধাপ 3: বৈধতা পথ যাচাই করুন
আপনার ফোর্টিগেটকে অবশ্যই http://vpn.example.com/.well-known/acme-challenge/ প্রতিক্রিয়া জানাতে হবে।
আপনার যদি এইচটিটিপিএস পুনর্নির্দেশনা সক্ষম থাকে তবে একটি বাইপাস নিয়ম যুক্ত করুন যাতে চ্যালেঞ্জ পথটি যাচাইকরণের সময় সরল এইচটিটিপিতে থাকে।
ভার্চুয়াল সার্ভারগুলির জন্য এটি কীভাবে করবেন তা এখানে:
config firewall vip
edit "acme-http"
set extintf "wan1"
set extip <your-public-ip>
set mappedip "192.168.1.99"
set extport 80
set mappedport 80
set protocol tcp
next
end
আপনার প্রকৃত বাহ্যিক এবং অভ্যন্তরীণ IP ঠিকানাগুলি প্রতিস্থাপন করুন <your-public-ip> 192.168.1.99 । এই মানগুলি কেবল উদাহরণস্বরূপ ব্যবহৃত স্থানধারক।
ধাপ 4: প্রাথমিক অনুরোধটি ট্রিগার করুন
এখন যেহেতু ফোর্টিগেট জানে কীভাবে আপনার সিএ পৌঁছাতে হয় এবং বৈধতা ফাইলগুলি কোথায় স্থাপন করতে হয়, আপনি প্রকৃত শংসাপত্র তালিকাভুক্তি প্রক্রিয়াটি শুরু করতে পারেন:
execute vpn certificate local generate "acme-vpn-cert"
এই কমান্ডটি ফোর্টিগেটকে CA এর সাথে যোগাযোগ করতে, ডোমেন বৈধতা সম্পাদন করতে এবং স্বাক্ষরিত শংসাপত্রটি স্বয়ংক্রিয়ভাবে পুনরুদ্ধার করতে বলে।
ধাপ 5: সার্টিফিকেটের স্থিতি পরীক্ষা করুন
আপনার শংসাপত্রের স্থিতি পরীক্ষা করতে নিম্নলিখিত আদেশটি চালান:
get vpn certificate local
আপনার দেখা উচিত:
Status: valid
Issuer: Your CA Name
স্থিতিটি মুলতুবি বা অবৈধ থাকলে, DNS পুনরায় পরীক্ষা করুন এবং পোর্ট 80 পৌঁছানোর যোগ্যতা করুন।
ধাপ 6: সার্টিফিকেট প্রয়োগ করুন
SSL VPN, HTTPS ব্যবস্থাপনা বা প্রক্সি পরিষেবাগুলিতে এটি নিয়োগ করতে GUI বা CLI ব্যবহার করুন:
config vpn ssl settings
set servercert "acme-vpn-cert"
end
জিইউআইয়ের মাধ্যমে এটি কীভাবে করবেন তা এখানে:
VPN SSL-VPN> সেটিংস > সার্ভার সার্টিফিকেটে > যান ACME-VPN-cert নির্বাচন করুন।
ধাপ 7: সমস্যা সমাধান এবং পুনর্নবীকরণ
যদি শংসাপত্রটি এখনই ইস্যু না করে তবে সর্বাধিক সাধারণ কারণগুলি হ’ল:
- ACME সার্ভারটি আপনার বৈধতা URL এ পৌঁছাতে পারেনি (পোর্ট 80 খোলা)।
- আপনার KID বা HMAC কী CA যা প্রত্যাশা করে তা মেলে না।
- আপনি একটি অস্থায়ী রিপ্লে বা রেট সীমায় আঘাত করেন; কয়েক মিনিট পর আবার চেষ্টা করুন।
শংসাপত্রটি বৈধ হয়ে গেলে, ফোর্টিগেট আপনার সেটিংয়ের auto-regenerate-days উপর ভিত্তি করে স্বয়ংক্রিয়ভাবে পুনর্নবীকরণ পরিচালনা করবে। আপনি যে কোনও সময় পুনর্নবীকরণ পরীক্ষা করতে পারেন:
execute vpn certificate local renew "acme-vpn-cert"
ফলব্যাক: এক্সটার্নাল ইস্যু (ACME.sh) এবং ফোর্টিগেটে আমদানি
যদি আপনার সিএ’র এসিএমই এন্ডপয়েন্ট সরাসরি ফোর্টিগেটের সাথে কাজ না করে তবে আপনি ACME.sh দিয়ে শংসাপত্রটি বাহ্যিকভাবে জারি করতে পারেন এবং এটি আমদানি করতে পারেন। এটি কীভাবে করবেন তা এখানে:
ধাপ 1: ACME.sh ইনস্টল করুন
ইন্টারনেট অ্যাক্সেস রয়েছে এমন যে কোনও লিনাক্স, ম্যাকোস বা বিএসডি সিস্টেমে এই কমান্ডগুলি চালান। আপনি এটি ফোর্টিগেটে চালাচ্ছেন না (ফোর্টিগেট কাস্টম শেল স্ক্রিপ্টগুলি সমর্থন করে না)।
curl https://get.acme.sh | sh
source ~/.bashrc
এটি আপনার হোম ডিরেক্টরিতে ক্লায়েন্টকে acme.sh ইনস্টল করে এবং এটি আপনার শেলে লোড করে। আপনার আসল CA এবং বিশদ দিয়ে প্লেসহোল্ডারটি প্রতিস্থাপন করুন।
ধাপ 2: EAB এর সাথে আপনার ACME অ্যাকাউন্ট নিবন্ধন করুন
acme.sh --register-account \
--server https://acme.yourca.com/v2/acme \
--eab-kid "YOUR_EAB_KID" \
--eab-hmac-key "YOUR_EAB_HMAC_KEY" \
-m [email protected]
ধাপ 3: সার্টিফিকেট ইস্যু করুন
acme.sh --issue \
-d vpn.example.com \
--webroot /var/www/html \
--server https://acme.yourca.com/v2/acme \
--eab-kid "YOUR_EAB_KID" \
--eab-hmac-key "YOUR_EAB_HMAC_KEY"
ধাপ 4: সার্টিফিকেট ফাইলগুলি সনাক্ত করুন
একটি সফল ইস্যুর পরে, আপনার শংসাপত্র ফাইলগুলি আপনার হোম ডিরেক্টরিতে এর অধীনে সংরক্ষণ করা হয় ~/.acme.sh/vpn.example.com/
এই ফোল্ডারের ভিতরে আপনি পাবেন:
- fullchain.cer – সম্পূর্ণ সার্টিফিকেট চেইন
- vpn.example.com.key – আপনার ব্যক্তিগত কী
- ca.cer – ইন্টারমিডিয়েট সিএ সার্টিফিকেট
আপনি এগুলি একটি পাঠ্য সম্পাদকের সাহায্যে খুলতে পারেন বা OpenSSL এর মাধ্যমে বিশদ যাচাই করতে পারেন:
openssl x509 -in fullchain.cer -noout -dates -issuer -subject
ধাপ 5: ফোর্টিগেটে আমদানি করুন
আপনি GUI-এর মাধ্যমে সার্টিফিকেট আমদানি করতে পারেন:
এখানে যান: সিস্টেম সার্টিফিকেট > আমদানি > স্থানীয় > শংসাপত্র এবং
শংসাপত্র এবং ব্যক্তিগত কীটি আপলোড করুন।
অথবা আপনি CLI ব্যবহার করতে পারেন:
config vpn certificate local
edit "acme-vpn-cert"
set private-key "-----BEGIN PRIVATE KEY-----..."
set certificate "-----BEGIN CERTIFICATE-----..."
next
end
ধাপ 6: নিয়োগ এবং পুনর্নবীকরণ
শংসাপত্রটি পুনর্নবীকরণ হয়ে গেলে, এটি আপনার এসএসএল ভিপিএন বা ফোর্টিগেট ওয়েব ইন্টারফেসে পুনরায় বরাদ্দ করার বিষয়টি নিশ্চিত করুন (যদি এটি স্বয়ংক্রিয়ভাবে প্রয়োগ না করে)। আপনি যদি কোনও ভিন্ন সার্ভারে কোনও বাহ্যিক এসিএমই ক্লায়েন্ট ব্যবহার করছেন তবে এসসিপি বা এপিআই কল ব্যবহার করে নতুন সার্টিফিকেট ফাইলগুলি স্বয়ংক্রিয়ভাবে ফোর্টিগেটে অনুলিপি করতে একটি নির্ধারিত কাজ (ক্রোন জবের মতো) সেট আপ করুন।
যেমন:
scp ~/.acme.sh/vpn.example.com/fullchain.cer admin@fortigate:/root/
scp ~/.acme.sh/vpn.example.com/vpn.example.com.key admin@fortigate:/root/
তারপরে সার্টিফিকেটটি পুনরায় লোড করুন:
execute vpn certificate local import "acme-vpn-cert"
সাধারণ প্রশ্ন
আপনি যদি প্রথমবারের মতো বাণিজ্যিক সিএ দিয়ে ACME সেট আপ করছেন তবে কয়েকটি প্রশ্ন আসতে থাকে। আমরা প্রায়শই যেগুলি দেখি তার দ্রুত উত্তর এখানে দেওয়া হল:
আমি কি এই সেটআপটি কোনও বাণিজ্যিক সিএ-র সাথে ব্যবহার করতে পারি?
হ্যাঁ, যতক্ষণ না আপনার সরবরাহকারী ACME + এক্সটার্নাল অ্যাকাউন্ট বাইন্ডিং (ইএবি) সমর্থন করে। সেকটিগো এবং ডিজিসার্টের মতো প্রধান সিএগুলি ইতিমধ্যে এসিএমই ডিরেক্টরি ইউআরএল এবং ইএবি শংসাপত্র সরবরাহ করে।
বৈধতার জন্য কি আমাকে এইচটিটিপি এবং এইচটিটিপিএস পোর্ট উভয়ই খুলতে হবে?
ACME এর HTTP-01 বৈধতার জন্য কেবল পোর্ট 80 (HTTP) প্রয়োজন । সাধারণ ট্র্যাফিকের জন্য এইচটিটিপিএস (443) খোলা রাখুন, তবে এইচটিটিপি থেকে এইচটিটিপিএস-এ বৈধতার অনুরোধগুলি পুনর্নির্দেশ করবেন না।
আমার শংসাপত্রটি স্বয়ংক্রিয়ভাবে পুনর্নবীকরণ করতে ব্যর্থ হলে কী হবে?
আপনি যে কোনও সময় ম্যানুয়াল পুনর্নবীকরণ ট্রিগার করতে পারেন:
execute vpn certificate local renew "acme-vpn-cert"
যদি এটি এখনও ব্যর্থ হয় তবে আপনার ইএবি শংসাপত্র, ডোমেন ডিএনএস পুনরায় পরীক্ষা করুন এবং ফায়ারওয়ালটি এখনও আপনার সিএ-র এসিএমই এন্ডপয়েন্টে বহির্মুখী অ্যাক্সেসের অনুমতি দেয়।
আমি কি একাধিক ফোর্টিগেটগুলিতে একই ইএবি শংসাপত্রগুলি ব্যবহার করতে পারি?
এটা নির্ভর করে আপনার সিএ-র উপর। কেউ কেউ একাধিক ডিভাইসের জন্য একটি অ্যাকাউন্ট পুনরায় ব্যবহারের অনুমতি দেয়, অন্যরা অর্ডার বা ডোমেন প্রতি অনন্য শংসাপত্র ইস্যু করে। হারের সীমা বা অ্যাকাউন্টের দ্বন্দ্ব এড়াতে সর্বদা আপনার সিএ-র নীতি অনুসরণ করুন।
শেষ কথা
আপনি এখন জানেন যে কীভাবে ফোর্টিগেটে একটি ACME SSL সার্টিফিকেট ইনস্টল করতে হয়, হয় তার নেটিভ ইএবি ইন্টিগ্রেশন বা ACME.sh এর মাধ্যমে বাহ্যিক ইস্যুর মাধ্যমে।
উভয় পদ্ধতি এন্টারপ্রাইজ সুরক্ষা মান পূরণ করে এবং বাণিজ্যিক শংসাপত্র কর্তৃপক্ষের সাথে সম্পূর্ণ স্বয়ংক্রিয় পুনর্নবীকরণ সমর্থন করে।
আজ অর্ডার করার সময় SSL শংসাপত্রে 10% সংরক্ষণ করুন!
দ্রুত ইস্যু, শক্তিশালী এনক্রিপশন, 99.99% ব্রাউজার বিশ্বাস, নিবেদিত সমর্থন, এবং 25 দিনের অর্থ ফেরত গ্যারান্টি। কুপন কোড: SAVE10

