自宅で使っている、Fortigate 60dで、『deep-inspection』を試してみました

導入後、ずっと『certificate-inspection』で使っていましたが、いつか換えないとと思っていました。それぞれの違いは、以下です

・『certificate-inspection』
 SSL/TLSで暗号化された、通信のセッション確立時に実施されるSSLハンドシェイクで、証明書のコモンネームを確認し、WebフィルタのFortiGuardカテゴリで許可された宛先URLか照会します。なお、certificate-inspectionは暗号化された通信の復号化を実施しないため、certificate-inspectionとアンチウイルスの組み合わせではHTTPSからダウンロードしたファイルのスキャンは実施されません。
・『deep-inspection』
 SSL/TLSで暗号化された通信をFortiGate上で復号化しスキャンを実施します。

やはり、今どき、ほぼ「SSL通信」なので、『deep-inspection』にすべきですよね

しかし、問題が2点あります
<問題>
1.全ての暗号化された通信を復号化してスキャンするため、FortiGateに高い負荷がかる
2.クライアントで証明書エラーが発生する


自宅で使うので、1.は我慢するとして、2.はどうにかする必要がありました

試してみましたので、以下に手順を記載します

Fortigateより証明書をダウンロードする

Fortigate管理画面の「システム」ー「証明書」をクリック、「Fortinet-CA_SSL」を選択し、「ダウンロード」をクリックします
※もし「証明書」が表示されていない場合は、「フューチャー選択」で追加してください
deep1


ダウンロードされた「証明書」をインストール

ダウンロードされた、「証明書ファイル」を、クライントPCでダブルクリックします
deep2

証明書ファイルが開きますので、「証明書のインストール」をクリックします
deep3

証明書のインストールウィザードが起動します。保存場所は「ローカルコンピューター」を選択します
deppe4


「証明書をすべて次のストアへ配置する」を選択、ストアは「信頼されたルート証明機関」を選択します
deep5

「完了」をクリックし、証明書をインストールします
deep6

deep7

以上で証明書のインストールが完了しました

以後、『deep-inspection』を選択しても、証明書エラーの表示は出なくなります