|
◆ BIG-IP - SSLの設定(新しくSSLサーバ証明書を取得する場合)
ベリサインやサイバートラストから新しくSSLサーバ証明書を取得する場合は、BIG-IPでは以下の
手順に従って、CSRを発行する必要があります。Division、Organization、Locality、Stateなどは
申請する会社の情報を入力して、青枠については申請する認証局に必須かどうかを確認しましょう。
| Certificate Propertiesの説明 |
説明 |
| Division |
部署名(OUに該当する情報) |
| Organization |
組織名(英語表記の会社名を入力) |
| Locality |
市区町村名 |
| State or Province |
都道府県名 |
| Country |
国名 |
次に、発行したCSRを管理PCにダウンロードします。このCSRをベリサインなどに提出します。
CSRに紐づいたKeyだけが保存された状態、つまりSSLサーバ証明書は存在しない状態になります。
CSR発行によって、秘密鍵(RSA Key)のファイルのみ保存された状態であることが分かります。
この秘密鍵はExportしてバックアップを取得しておきましょう。秘密鍵は誰にも提供してはいけません。
先ほど管理PCなどにダウンロードしたCSRの情報( テキストエディタで確認できる情報 )を、認証局に
申請してSSLサーバ証明書を申し込むと、認証局での審査と手続きが完了した後に、認証局からSSLサーバ
証明書がダウンロードできるようになります。また、ベリサインやサイバートラストに申し込んでいる場合、
このタイミングで中間CA証明書もダウンロードできます。
認証局からSSLサーバ証明書を入手することができれば、以下で先ず、SSLサーバ証明書をImportします。
以下の画面で、認証局から取得したSSLサーバ証明書(.cerファイル)をBIG-IPにアップロードします。
Importに成功すると「Contents」部分が RSA Certificate & key と表示されます。また、その他にも
Common Name、Organization、Expirationも認証局に申請した情報が表示されるようになります。
この後、サーバ証明書と秘密鍵を指定したClient SSL Profileを作成し、そのClient SSL Profileに適用。
◆ 中間CA証明書のインポート(中間CA証明書のインポートが必要な場合)
⇒ Certificate Nameは、SSLサーバ証明書で設定した名前と異なるファイル名にする必要があります。
⇒ 入手した中間CA証明書をテキストエディタなどで開いて、---- BEGINから始まる情報をコピペします。
※ @中間CA証明書とAクロスルート設定用証明書を連結する場合、@を先頭にして次にAを貼付します。
この中間CA証明書を、正常にインポート完了すると、SSL Certificate Listの「Contents」での表示は
単一の中間CA証明書だけの場合はCertificateという状態で表示されます。クロスルート方式の場合で
2種類の中間CA証明書を1つに連結したファイルである場合は、Certificate Bundleと表示がされます。
Certificate Bundleの中間CA証明書のファイル名をクリックすると、2つの証明書情報を確認できます。
|