意外と需要がありそうなのに、あまり世に出回っていないTIPS。
SSLサーバ証明書を片方に移植する方法がわからず苦労しました。
FortiGateを冗長構成で構築する場合、HAだとConfig同期がされるので良いのですが、
完全分離で可動させている場合、2号機の電源は普段OFFだが初期化がNGの場合、証明書の同期に困るわけです。
1号機に設定してあるサーバ証明書を2号機にコピーする方法を記載します。
■① hm-utm-01 にてSSHログイン、以下でローカル証明書の一覧を抜き出す show full-configuration vpn certificate local ■② 該当する部分を抜き出す edit "該当する証明書名" set password ENC XXX~ set comments '' set private-key "-----BEGIN ENCRYPTED PRIVATE KEY----- XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX -----END ENCRYPTED PRIVATE KEY-----" set certificate "-----BEGIN CERTIFICATE----- XXX~ -----END CERTIFICATE-----" set scep-url '' set range global set source user set source-ip 0.0.0.0 set ike-localid-type asn1dn next end ■③ FortiGate#2で上記コマンドを流し込み config vpn certificate local 以降②の内容を流し込み ※source user のエラーが出るけど無視でOK ■④ 2号機GUIにて、正常に表示を確認
※この運用環境ではFortiGate WAN IPへHTTPSアクセス際、DNSで1号機、2号機の振り分けをしています。
■注意
HA構成を組んでいて一時的に分断する際の注意。
HAのリンクをばらしてIPを変更しても、同じ仮想MACを使用しつづける仕様。
MACアドレス同値のためネットワークが不安定に。
Standaloneモードに切替えると物理IFのMACに戻り、解消する。