皆さんこんにちは！SB C&Sで Fortinet 製品のプリセールスを担当している長谷川です。

今回は、FortiGate-VMを導入後にライセンスの変更が発生するような場合の影響範囲を調査しました。

あまりこのような作業を行うケースは少ないですが、ライセンス変更時の注意点として記憶してもらえれば幸いです。

免責

目的

ライセンスの変更時、主に影響が発生する部分はシリアル番号になります。

そのため、シリアル番号に紐づく設定の箇所について調査を行います。

検証環境

FortiGateのほか、FortiGateと連携するケースの多い、FortiAnalyzer や FortiClient EMS を合わせて実施します。

ライセンスの移行

ライセンスファイルの適用は、WebUI上から実施します。

ウィザードに従って、ライセンスファイルをアップロードします。

ライセンスファイルのアップロードが完了すると、FortiGate-VMは、自動的に再起動を行います。

再起動が終わり再度ログインすると、新しいシリアル番号で起動します。

変更点の確認(ホスト名)

ホスト名については、通常デフォルト名(シリアル番号)で利用することはあまりないと考えられますが、未変更時と変更済みの2パターンで確認します。

未変更時の場合は、シリアル番号がそのままホスト名になります。

ライセンス変更後は、新しいシリアル番号がそのままホスト名になります。

ホスト名を変更した状態でライセンスの変更を実施します。

ホスト名が変更されている場合、ライセンス変更後もホスト名が維持されます。

変更点の確認(証明書)

FortiGateで利用可能なデフォルトの証明書や、ユーザ側で取り込んだ証明書の影響を確認します。

ライセンス変更を行った場合、"デフォルト" で組み込まれた証明書のうち、"シリアル番号が絡む証明書" については、再作成が行われていることが確認できます。

シリアル番号は、コモンネームに組み込まれています。

ライセンスの変更後は、シリアル番号のほか、有効期間やフィンガープリントなどが再作成されていることを確認できます。

ユーザが導入した証明書については、新しいライセンスでもそのまま引き継がれます。

変更点の確認(外部連携)

ライセンスの変更時、FortiAnalyzer, FortiClient EMSの連携についての影響を調査します。

ライセンスの変更後、FortiAnalyzer, FortiClient EMSともに連携が失敗していることが確認できます。

コンフィグ上では、FortiAnalyezr, FortiClient EMSどちらも設定が引き継がれ、違いはありません。

FortiAnalyzerの管理画面上では、未登録デバイスとして待機しています。

これは、FortiAnalyzer側ではシリアル番号で筐体を識別しているため、新しいデバイスとして認識しているためです。

FortiClient EMSでも同じ動作となります。

そのため、FortiAnalyzer, FortiClient EMSどちらも新しいデバイスとして再登録作業が必要になります。

検証のまとめです。

いかがでしたでしょうか。

改めて運用を開始している環境に対しライセンスを変更することはあまりありませんが、上位モデル(FortiGate-VM01 → FortiGate-VM02) へ性能を上げるなどの対応が必要になる場合などが考えられます。

ライセンスの変更時の情報として記憶いただければ幸いです。

以上、ご拝読ありがとうございました。

---

※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
　正確性、最新性、完全性は保証できませんのでご了承ください。