ApacheでSSLを動かしていたものを、F5 BIG-IP LTMに移植する必要が出てきたので、
その作業ログです。
☆ --- ☆ --- ☆ --- ☆ --- ☆ --- ☆ --- ☆ --- ☆ --- ☆
既存サーバーのSSLサーバー証明書を、F5 BIG-IP LTMに移殖する方法
【用意するもの】
- 秘密鍵
(「BEGIN RSA PRIVATE KEY」で始まり「END RSA PRIVATE KEY」で終わるもの)
- サーバー証明書
(「BEGIN CERTIFICATE」で始まり「END CERTIFICATE」で終わるもの)
- 中間証明書
(「BEGIN CERTIFICATE REQUEST」で始まり「END CERTIFICATE REQUEST」で終わるもの)
※中間証明書はベンダーのマニュアルをご覧ください。
※参考 Apacheでは以下のように使っているはず。
SSLCertificateKeyFile xxx.key ←秘密鍵
SSLCertificateFile xxx.crt ←サーバ証明書
SSLCertificateChainFile xxx.cer ←中間証明書
【手順概要】
- 秘密鍵をインストールする
- サーバー証明書をインストールする
- 中間CA証明書をインストールする
- SSL証明書のプロファイルを作成する
- ヴァーチャルサーバーでSSL証明書を指定する
【設定方法】
1. 秘密鍵をインストールする
Local Traffic ›› SSL Certificates で「Import」を選択
Import Type : Key
Key Name : Create New を選択し「ドメイン名_key」(※名前は任意)
Key Source : Paste Textを選択し、秘密鍵を貼る
2. サーバー証明書をインストールする
さきほど作成した「ドメイン名_key」をクリックし、
Certificateタブで、「Import」を押す。
Certificate Source : Paste Textを選択し、サーバー証明書を貼る
3. 中間CA証明書をインストールする
Local Traffic ›› SSL Certificates で「Import」を選択
Import Type : Certificate
Key Name : Create New を選択し「発行者名などわかりやすい名前」
Key Source : Paste Textを選択し、中間CA証明書(※)を貼る
※発行者や証明書などによって、中間証明書を2枚重ねる場合などがあります。
投入前に発行元のマニュアルを確認することを強くお勧めします。
4. SSL証明書のプロファイルを作成する
Local Traffic ›› Profiles : SSL で「Client」を選択
Name : ドメイン名_clientssl
Parent Profile : clientssl
■ Certificate : サーバー証明書を指定する
■ Key : 秘密鍵を指定する
■ Chain : 中間証明書を指定する
5. ヴァーチャルサーバーでSSL証明書を指定する
適宜ヴァーチャルサーバーを設定し、SSL Profile (Client)でSSL証明書を選択する。
☆ --- ☆ --- ☆ --- ☆ --- ☆ --- ☆ --- ☆ --- ☆ --- ☆
てな感じで。