[Fortinet-Fortigate] How to solve the connectivity loss issue to managed clusters right after a FortiManager upgrade
FortiManager를 버전 7.0.12 이상으로 업그레이드 한 후 클러스터에 대한 연결 끊김 문제를 해결하는 방법
FortiGate 및 FortiManager 장치에는 모두 FortiGate와 FortiManager 간 통신을 위해 독점적으로 실행되는 fgfm 데몬이 있음.
FortiManager에 등록할 때 또는 fgfmd 데몬이 나중에 중앙 관리로 구성되어 TCP/541에서 FortiManager에 연결할 때 FortiManager와 연결을 설정하는 클러스터의 기본 노드는 암호화된 TLS 연결을 사용.
-> 7.0.12 이상의 최신 버전, fgfm 프로토콜에서 사용되는 위의 새로운 인증 기능 때문에 발생한 문제로 판단됨.
-> 업그레이드 되었을 때, FortiGate에서 debug하여 get 메시지가 피어 인증서의 제목 CN 또는 SAN과 일치하지 않는 것을 확인-> status down
-> 이후 fgfmd는 HA 구성원 간에 동기화되는 인증서 대신 자체 장치(CERT_FACTORY_TYPE)에 속하는 BIOS 인증서를 사용하도록 선택
구성 시스템 전역에서 fgfm-peercert-withoutsn을 활성화합니다.
config system global set fgfm-peercert-withoutsn enable end
-> 해당 설정 후 FortiManager는 요청 장치의 SN와 인증서 CN에 표시된 일련 번호가 정확히 일치하는지 추가 확인을 진행하지 않음.
<참고자료>
https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-When-upgrading-to-FortiManager-7-2-5-the/ta-p/318425
