2、使用Windows Server 2008为FortiGate和vpnuser1颁发数字证书       

 2.1）使用Windows Server 2008为FortiGate和vpnuser1颁发数字证书

 低端设备需要在“可见功能”中打开“证书”功能，默认是GUI是隐藏的：

 在FortiGate生成一个证书请求，在本地产生一个私钥，同时产生一个“base-64 编码的 CMC 或 PKCS #10 证书申请”：

 

 

 

 

 打开Windows Server 2008 CA申请界面，通过Windows CA服务器申请数字证书：
  

    

   

   下载申请的userfgt的用户证书：

   

          下载CA颁发机构的根证书：

  

  

目前为止得到了两张证书：userfgt_FortiGate证书（Center防火墙用户证书）、Windows Server 2008(CA的根证书) 

然后再申请一张vpnuser1的用户证书，在vpnuser1电脑上登陆到CA服务器证书申请页面：

如果CA服务器是一个LDAP域控+CA的部署，那么首先需要使用域账号vpnuser1+密码 登陆到证书服务器的申请界面：

       最终得到 userfgt_FortiGate证书（Center防火墙用户证书）、vpnuser1证书.cer（vpnuser1用户证书）、Windows Server 2008(CA的根证书) 这三张证书

          

          2.2)  导入使用Windows Server 2008为FortiGate颁发的数字证书 userfgt_FortiGate（Center防火墙用户证书）证书

          导入FortiGate的本地用户数字证书：

     

    

    

   在上FortiGate导入Windows Server 2008的CA根证书：

   

   

   

   本地用户证书和远端的CA根证书均成功导入到FGT本地，这是SSL  VPN证书认证的前提条件。必须要把相应的证书准确成功的导入到了FGT本地，后续才有可能进行对应的证书协商和认证。

    2.3)  导入使用Windows Server 2008为vpnuser1颁发的数字证书vpnuser1证书.cer （vpnuser1用户证书）

   安装到windows系统中：

导入Windows Server 2008的CA根证书：

最终的效果是FortiClient也可以读取到vpnuser1的用户证书：

Firefox和Google Chrome拥有一个独立的证书空间，如果需要使用Firefox和Google Chrome浏览器调用证书，需要单独导入到这些浏览器：

如果是使用的Firefox申请的数字证书，可以直接点击安装用户证书和CA证书，这样证书将直接导入到Firefox浏览器中。

比如使用Firefox浏览器申请的用户证书：

我们将看到Firefox浏览器证书列表里面信息：

以上为FGT和vpnuser1的证书申请和导入过程，证书的操作相对比较复杂，建议使用第一种方式进行CA部署（FAC），相对来说操作比较简单一些。