Pozn.: Prostředí Microsoft Entra ID se často mění, takže popis odpovídá době psaní článku. Pro FortiGate vychází z FortiOS 7.2.8.
Průběh obnovy SAML certifikátu
V rámci aplikace v Entra ID můžeme mít více SAML certifikátů, ale pouze jeden může být aktivní.
V našem případě SSL VPN si můžeme připravit nový certifikát a nahrát jej na FortiGate. Výměna certifikátu neovlivní navázané VPN (na rozdíl od nahrání nového HTTPS serverového certifikátu pro FortiGate). Ve chvíli, kdy certifikát v Entra ID aktivujeme, tak přestane fungovat přihlášení do VPN. Do doby, než nastavíme na FortiGate pro odpovídající SAML SSO Server. To můžeme stihnout velmi rychle, takže ovlivnění provozu je minimální.
Pozn.: Microsoft uvádí, že v případě, kdy naše aplikace nekontroluje expiraci certifikátu, tak bude vše funkční i s vypršelým certifikátem.
Kroky výměny certifikátu
- Entra ID - vytvoříme nový certifikát
- FortiGate - nahrajeme certifikát
- Entra ID - aktivujeme certifikát
- FortiGate - vyměníme certifikát pro SAML SSO Server
Vytvoření nového certifikátu v Entra ID
Před koncem platnosti certifikátu vystavíme nový.
- Microsoft Entra admin center
- Identity - Applications - Enterprise applications - All applications - najdeme naši aplikaci
- přepneme se na Single sign-on
- v části SAML Certificates (Token signing certificate) klikneme na Edit
- v okně SAML Signing Certificate klikneme na New Certificate a Save
- vytvoří se certifikát (defaultně s platností 3 roky) a jeho stav je Inactive
- klikneme na tři tečky vedle certifikátu a uložíme jej - Base64 Certificate download
Nahrání certifikátu na FortiGate
- (Global/VDOM) - System - Certificates - Import - Remote Certificate
Nahrajeme nový certifikát na FortiGate. Dostane automatické jméno (G_REMOTE_Cert_1
), které můžeme volitelně změnit v CLI.
FW (global) # config certificate remote FW (remote) # rename G_REMOTE_Cert_1 to Entra_SSO_VPN_2024
Aktivace certifikátu v Entra ID
Ve chvíli, kdy jsme připraveni na změnu certifikátu (než výměnu dokončíme, tak nebude fungovat přihlášení do VPN), aktivujeme certifikát v Entra ID.
- Microsoft Entra admin center
- Identity - Applications - Enterprise applications - All applications - najdeme naši aplikaci
- přepneme se na Single sign-on
- v části SAML Certificates (Token signing certificate) klikneme na Edit
- klikneme na tři tečky vedle certifikátu a zvolíme Make certificate active, potvrdíme aktivaci Yes
- původní certifikát se deaktivuje a nový aktivuje
Výměna certifikátu na FortiGate
Vyměníme certifikát v SAML SSO Server (config user saml
)
- (Global/VDOM) - User & Authentication - Single Sign-On
- editujeme naše SSO nastavení
- vyměníme Certificate za nový a uložíme
Zatím zde nejsou žádné komentáře.