En este artículo, abordaremos un problema común que puede surgir después de actualizar a FortiOS 7.4.5: el estado del conector EMS que aparece como inactivo para un dispositivo downstream en la infraestructura de seguridad. Este inconveniente es relevante porque impide la adecuada sincronización y funcionamiento de la red. A continuación, proporcionaremos un diagnóstico paso a paso y métodos para resolver este problema de conexión.
Índice
Descripción del problema
Tras la actualización a FortiOS 7.4.5, el estado del conector EMS puede mostrarse como «down» en la interfaz gráfica de usuario (GUI) para un FortiGate downstream. Este problema puede ser diagnosticado con un mensaje de error específico que indica problemas de validación del certificado de autoridad (CA).
Alcance
Este problema afecta a FortiOS y, en particular, a la relación entre dispositivos en la arquitectura de FortiGate.
Diagnóstico paso a paso
Cuando se ejecuta el siguiente comando de depuración, se puede observar el error documentado:
diagnose debug app fcnacd -1
diagnose debug enable
Al ejecutar estos comandos, se generará un registro similar al siguiente:
[ec_ems_context_submit_work:643] Call submitted successfully.
obj-id: 0, desc: REST API to get EMS Serial Number., entry: api/v1/system/serial_number.
[__worker_handle_certinfo:292] Certificate callback error -1: Error (-1@_check_verify_ems_ca:759). CMDB error: ems 7 (local.ems) has verifying CN but not CA CN.
(_dup_and_check_server_cert_cn_ca,876) (_duplicate_and_check_server_certificate,960) Failed to handle server certificate CN and verifying CA.
Este mensaje indica que el dispositivo downstream no tiene el certificado CA guardado en la configuración, lo que genera la desconexión del conector EMS del FortiGate.
Solución recomendada
Para resolver este problema, es necesario habilitar la opción fabric-ca en el dispositivo raíz bajo la configuración del certificado utilizado para la conexión EMS. Utilice los siguientes comandos en la CLI:
config vpn certificate ca
edit <cert utilizado para EMS>
set fabric-ca enable
end
Una vez que se habilite esta opción en el FortiGate raíz, el certificado será transferido al dispositivo downstream y el conector EMS se reactivará correctamente.
Comandos CLI utilizados
Los comandos CLI utilizados para este proceso son los siguientes:
- diagnose debug app fcnacd -1: Este comando inicia la depuración de la aplicación del conector EMS para identificar errores.
- diagnose debug enable: Habilita la depuración, permitiendo ver mensajes de error y procesos en tiempo real.
- config vpn certificate ca: Permite configurar los certificados CA vinculados a la VPN.
Buenas prácticas y recomendaciones
Asegúrese de mantener una copia de seguridad de la configuración del FortiGate antes de realizar cambios en los certificados. Además, es recomendable verificar regularmente el estado de los conectores EMS, especialmente después de realizar actualizaciones de software.
Notas adicionales
Si el problema persiste después de aplicar los cambios recomendados, considere contactar al soporte técnico de Fortinet para recibir asistencia personalizada. Asimismo, consulte la documentación oficial de FortiOS para más información sobre la configuración de certificados y otros problemas comunes.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!