FortiGate でSSLサーバ証明書を別筐体に移植する方法 


意外と需要がありそうなのに、あまり世に出回っていないTIPS。
SSLサーバ証明書を片方に移植する方法がわからず苦労しました。
FortiGateを冗長構成で構築する場合、HAだとConfig同期がされるので良いのですが、
完全分離で可動させている場合、2号機の電源は普段OFFだが初期化がNGの場合、証明書の同期に困るわけです。
1号機に設定してあるサーバ証明書を2号機にコピーする方法を記載します。

■① hm-utm-01 にてSSHログイン、以下でローカル証明書の一覧を抜き出す
show full-configuration vpn certificate local
■② 該当する部分を抜き出す
edit "該当する証明書名"
set password ENC XXX~
set comments ''
set private-key "-----BEGIN ENCRYPTED PRIVATE KEY-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END ENCRYPTED PRIVATE KEY-----"
set certificate "-----BEGIN CERTIFICATE-----
XXX~
-----END CERTIFICATE-----"
set scep-url ''
set range global
set source user
set source-ip 0.0.0.0
set ike-localid-type asn1dn
next
end
■③ FortiGate#2で上記コマンドを流し込み
config vpn certificate local
以降②の内容を流し込み
※source user のエラーが出るけど無視でOK
■④ 2号機GUIにて、正常に表示を確認

※この運用環境ではFortiGate WAN IPへHTTPSアクセス際、DNSで1号機、2号機の振り分けをしています。
■注意
HA構成を組んでいて一時的に分断する際の注意。
HAのリンクをばらしてIPを変更しても、同じ仮想MACを使用しつづける仕様。
MACアドレス同値のためネットワークが不安定に。
Standaloneモードに切替えると物理IFのMACに戻り、解消する。

コメントを残す