月曜日, 7月 09, 2012

既存サーバーのSSLサーバー証明書を、F5 BIG-IP LTMに移殖する方法





ApacheでSSLを動かしていたものを、F5 BIG-IP LTMに移植する必要が出てきたので、
その作業ログです。



☆ --- ☆ --- ☆ --- ☆ --- ☆ --- ☆ --- ☆ --- ☆ --- ☆

既存サーバーのSSLサーバー証明書を、F5 BIG-IP LTMに移殖する方法


【用意するもの】

  • 秘密鍵

(「BEGIN RSA PRIVATE KEY」で始まり「END RSA PRIVATE KEY」で終わるもの)

  • サーバー証明書

(「BEGIN CERTIFICATE」で始まり「END CERTIFICATE」で終わるもの)

  • 中間証明書

(「BEGIN CERTIFICATE REQUEST」で始まり「END CERTIFICATE REQUEST」で終わるもの)
※中間証明書はベンダーのマニュアルをご覧ください。

※参考 Apacheでは以下のように使っているはず。
SSLCertificateKeyFile xxx.key   ←秘密鍵
SSLCertificateFile xxx.crt      ←サーバ証明書
SSLCertificateChainFile xxx.cer ←中間証明書



【手順概要】

  1. 秘密鍵をインストールする
  2. サーバー証明書をインストールする
  3. 中間CA証明書をインストールする
  4. SSL証明書のプロファイルを作成する
  5. ヴァーチャルサーバーでSSL証明書を指定する



【設定方法】

1. 秘密鍵をインストールする
Local Traffic  ››  SSL Certificates で「Import」を選択
Import Type : Key
Key Name : Create New を選択し「ドメイン名_key」(※名前は任意)
Key Source : Paste Textを選択し、秘密鍵を貼る

2. サーバー証明書をインストールする
さきほど作成した「ドメイン名_key」をクリックし、
Certificateタブで、「Import」を押す。
Certificate Source : Paste Textを選択し、サーバー証明書を貼る

3. 中間CA証明書をインストールする
Local Traffic  ››  SSL Certificates で「Import」を選択

Import Type : Certificate
Key Name : Create New を選択し「発行者名などわかりやすい名前」
Key Source : Paste Textを選択し、中間CA証明書(※)を貼る

※発行者や証明書などによって、中間証明書を2枚重ねる場合などがあります。
投入前に発行元のマニュアルを確認することを強くお勧めします。


4. SSL証明書のプロファイルを作成する
Local Traffic  ››  Profiles : SSL で「Client」を選択
Name : ドメイン名_clientssl
Parent Profile : clientssl
■ Certificate : サーバー証明書を指定する
■ Key : 秘密鍵を指定する
■ Chain : 中間証明書を指定する


5. ヴァーチャルサーバーでSSL証明書を指定する
適宜ヴァーチャルサーバーを設定し、SSL Profile (Client)でSSL証明書を選択する。


☆ --- ☆ --- ☆ --- ☆ --- ☆ --- ☆ --- ☆ --- ☆ --- ☆


てな感じで。