|
◆ BIG-IP - SSLの通信確認(エラーが出る場合の確認ポイント)
クライアント端末から、SSL通信を行ってエラーがでる場合の確認点は以下のとおりです。
1. SSLサーバ証明書にあるCommon Nameでアクセスしているかどうか
⇒ 例えば「https://10.1.1.10/」ではなく「https://www.infraexpert.com/」と指定していますか?
2. BIG-IPにSSLサーバ証明書、秘密鍵だけでなく、中間CA証明書がインストールされているかどうか
⇒ ベリサインなどの場合は「 中間CA証明書とクロスルート証明書 」もインストールしていますか?
3. ルート証明書があるかどうか
⇒ PCのブラウザにそもそもルート証明書があるかどうか(大手の証明書を利用する場合は先ず大丈夫)
設定したLBにおいて、L4通信がうまく動作するのに、SSL通信がうまく動作しない場合には上記の3点を
確認してみて下さい。それでもうまく動作しない場合、通信試験をするPCを変えてみましょう。それでも
うまく動作しない場合、ロードバランサの実装内容を最小構成に変更して、通信確認をしてみましょう。
◆ BIG-IP - SSLの通信確認(試験時の留意点 - 個人メモ)
BIG-IPにSSLサーバ証明書、秘密鍵、中間CA証明書をインストールした後、SSL通信を確認する際に、
個人的に以下の4点を気を付けています。その中の個人メモAのhostsファイルについて補足いたします。
hostsファイルの編集時に管理者権限がなく「管理者に連絡してアクセス許可を取得して下さい」という
メッセージが出力された場合、notepadを「管理者として実行」をクリックしてメモ帳を開いてその上で
そのメモ帳から「ファイル」⇒「開く」でhostsファイルを開けば編集した後に保存することができます。
個人メモ
1. Windows Firewall、ウィルスソフトの無効化、ブラウザのプロキシチェックも外す。
2. PCのhostsファイル( C:\Windows\System32\drivers\etc にある )にAレコードを書く。
記述例 ⇒ 10.1.1.100 www.infraexpert.com
3. iRuleの確認は、log キーワードを指定( tail -f /var/log/ltm )でリアルタイムに確認。
|