|
◆ BIG-IP - SSLの設定(既存SSLサーバ証明書を流用する場合)
LBのリプレースなどで既存LBのSSLサーバ証明書を利用する場合は以下の情報を先ず取得します。
1. SSLサーバ証明書( 拡張子 cer など。Windowsフォルダ上の種類ではセキュリティ証明書と表示される )
2. 秘密鍵( 拡張子 key など。Windowsフォルダ上の種類ではKEYファイルと表示される )
3. 中間CA証明書( 拡張子 cer など。CAがベリサインなどで中間CA証明書をimportする必要がある場合に必要 )
⇒ ベリサインの場合、中間CA証明書とクロスルート設定用証明書を1つに連結した中間CA証明書が必要となります。
なお、SSLサーバ証明書はテキストファイルで開くと、-----BEGIN CERTIFICATE----- の情報ではじまり、最後に
-----END CERTIFICATE----- が表示されます。秘密鍵もテキストファイルで開くと同様の形式で情報が出力されます。
上記ファイルを取得後に、以下の手順でBIG-IPにSSLサーバ証明書と秘密鍵をインポートします。
◆ SSLサーバ証明書のインポート
※ Certificateをインストールした時点では、SSL Certificate ListのContentsでは「RSA Certificate」という状態。
◆ 秘密鍵のインポート
※ Certificateで指定した「Certificate Name」と同じ値を「Key Name」に入力しましょう。
※ Passwordは外部WebサーバやLBのExport時で指定したPassphraseと同じ値を入力します。さもなくば以下メッセージが出力
⇒ 01070712:3: Unable to verify key (/Common/ssl-infraexpert.key) is protected
by provided passphrase.
SSLサーバ証明書と秘密鍵のインポートが、正常に完了するとSSL Certificate ListのトップページでRSA Cerficate & keyと
表示されます。その他、Common NameにはFQDN、Organizationには会社名、Expiraitonには証明書の有効期限が表示されます。
これらの情報は認証局に申請した内容です。
◆ 中間CA証明書のインポート(中間CA証明書のインポートが必要な場合)
⇒ Certificate Nameは、SSLサーバ証明書で設定した名前と異なるファイル名にする必要があります。
⇒ 入手した中間CA証明書をテキストエディタなどで開いて、---- BEGINから始まる情報をコピペします。
※ @中間CA証明書とAクロスルート設定用証明書を連結する場合、@を先頭にして次にAを貼付します。
この中間CA証明書を、正常にインポート完了すると、SSL Certificate Listの「Contents」での表示は
単一の中間CA証明書だけの場合は Certificate という状態で表示されます。クロスルート方式の場合で
2種類の中間CA証明を1つに連結したファイルである場合は、Certificate Bundleという表示がされます。
|