SSLで暗号化された接続を使用しているサーバーでレイヤー7の負荷分散を成功させるためには、ADCはターゲットサーバーで使用されているSSL証明書を備えている必要があります。これは、データストリームを復号し、検査し、管理し、ターゲットサーバーに送信する前に再度暗号化するためです。
SSL証明書には、ADCが生成する自己署名証明書から、信頼できるプロバイダーが提供する従来の証明書(ワイルドカードを含む)まであります。また、Active Directoryから生成されるドメイン署名付き証明書を使用することもできます。
ADCはSSL証明書を使って何をするのですか?
ADCは、データに含まれる内容に応じて、トラフィック管理ルール(flightPATH)を実行できます。この管理は、SSL暗号化されたデータに対しては実行できません。ADCがデータを検査する際には、まずデータを復号化する必要があり、そのためにはサーバーが使用しているSSL証明書が必要となります。復号化されると、ADCはflightPATHルールを検査・実行できるようになります。その後、データはSSL証明書を使って再度暗号化され、最終的にReal Serverに送信されます。
証明書の作成
ADCはグローバルに信頼されたSSL証明書を使用することができますが、自己署名付きSSL証明書を生成することもできます。自己署名入りSSLは、内部のロードバランシングの要件に最適です。ただし、お客様のITポリシーによっては、信頼できるCA証明書やドメインCA証明書が必要になる場合があります。
ローカルSSL証明書の作成方法
· 上記の例のように、すべての詳細を記入してください。
· ローカル証明書の作成」をクリックします。
· これをクリックすると、証明書をバーチャルサービスに適用することができます。
証明書要求(CSR)の作成
グローバルに信頼されるSSLを外部のプロバイダーから取得する必要がある場合、SSL証明書を生成するためのCSRを生成する必要があります。
上記のフォームに必要な情報を入力し、「証明書発行依頼」ボタンをクリックします。あなたが提供したデータに対応するポップアップが表示されます。
その内容をテキストファイルにカット&ペーストし、CSRファイルの拡張子をつけてください。このCSRファイルを認証局に提出して、SSL証明書を作成してもらう必要があります。
証明書の管理
このサブセクションには、ADC内で使用するSSL証明書を管理するためのさまざまなツールが含まれています。
ショー
インストールされているSSL証明書の詳細を確認したい場合があります。
· ドロップダウンメニューから証明書を選択する
· 表示ボタンをクリック
· 以下のようなポップアップが表示され、証明書の詳細が表示されます。
証明書のインストール
信頼できる認証局から証明書を入手したら、生成されたCSRと照合し、ADC内にインストールする必要があります。
· 上記の手順で生成した証明書を選択します。ラインアイテムに(Pending)のステータスが固定されています。この例では、MyCompanyCertificateが上の画像のように表示されます。
· テキストエディタで証明書ファイルを開く
· ファイルの内容をすべてクリップボードにコピーする
· 信頼できる機関から受け取った署名入りSSL証明書の内容を、「Paste Signed」と書かれた欄に貼り付けます。
· また、その下の「インターメディエイト」にも、順番に気をつけて貼り付けてください。
1. (TOP) サイン入り証明書
2. (上から2番目) 中級編
3. (上から3番目) 中級編
4. (下) 中級3
5. ルート認証局 クライアントマシンに存在しているので、追加する必要はありません。
(ADCは、Real Serverのクライアントとして動作する再暗号化のためのルートバンドルも含んでいます)
· インストールをクリック
· 証明書のインストールが完了すると、証明書の横にステータス(Trusted)が表示されます。
中間順序を間違えて入力した場合は、「証明書(信頼済み)」を選択し、正しい順序で証明書(署名済み証明書を含む)を再度追加し、「インストール」をクリックする
中級者向け
場合によっては、中間証明書を別途追加する必要があります。例えば、中間証明書を持たない証明書をインポートした場合などです。
· 証明書(信頼済み)または証明書(インポート)をハイライト表示する
· 認証局に最も近い中間体が最後に貼り付けられるように注意しながら、中間体を下から順に貼り付けます。
· Add Intermediate」をクリックします。
注文を間違えてしまった場合は、プロセスを繰り返し、再度中間体を追加することができます。この操作では、前の中間体が上書きされるだけです。
証明書の削除
削除ボタンを使って、証明書を削除することができます。削除すると、証明書はADCから完全に削除されますので、証明書を交換し、必要に応じてバーチャルサービスに再適用する必要があります。
注:証明書を削除する前に、その証明書が運用中のVIPに添付されていないことを確認してください。
証明書の更新
Renew」ボタンをクリックすると、新しい Certificate Signing Request を取得することができます。この操作は、証明書の有効期限が切れて更新する必要がある場合に必要です。
· ドロップダウンリストから証明書を選択してください。
· 更新をクリック
· 新しいCSRの詳細をコピーして、新しい証明書を取得できるようにする。
· 新しい証明書を取得する際には、以下の手順を踏んでください。
· 
· インストールされているSSL証明書の詳細を確認したい場合があります。
· ドロップダウンメニューから証明書を選択する
· 表示ボタンをクリック
· 以下のようなポップアップが表示され、証明書の詳細が表示されます。
· 証明書のインストール
· これで、新しく更新された証明書がADCにインストールされます。
証明書のインポート
多くの場合、企業は、内部のセキュリティ体制の一部として、ドメイン署名された証明書を使用する必要がある。証明書はPKCS#12形式でなければならず、パスワードは常にこのような証明書を保護している。
下の図は、1つのSSL証明書をインポートするためのサブセクションを示しています。
· 証明書に親しみやすい名前を付けます。この名前は、ADC で使用されるドロップダウンリストで証明書を識別します。証明書のドメイン名と同じである必要はありませんが、空白を含まない英数字である必要があります。_と-以外の特殊文字は使用できません。
· PKCS#12証明書の作成に使用したパスワードを入力します。
· 証明書名}.pfxを参照します。
· Import」をクリックします。
· ADC内のSSLドロップダウンメニューに証明書が表示されます。
複数の証明書のインポート
ここでは、複数の証明書を含むJNBKファイルのインポートを行います。JNBKファイルは、複数の証明書をエクスポートする際に、ADCが暗号化して作成します。
· JNBK ファイルを参照します。複数の証明書をエクスポートすることで、これらのファイルを作成することができます。
· JNBKファイルの作成時に使用したパスワードを入力してください。
· Import」をクリックします。
· 証明書は、ADC内の関連するSSLドロップダウンメニューに表示されます。
証明書のエクスポート
時折、ADC内に保持されている証明書の一つをエクスポートしたいと思うことがあります。ADCはこれを行う機能を備えています。
· インストールする証明書をクリックします。リストにあるすべての証明書を選択するには、[すべて]オプションをクリックします。
· エクスポートされたファイルを保護するためのパスワードを入力します。パスワードの長さは6文字以上でなければなりません。使用できる文字は、アルファベット、数字、一部の記号です。< > " ' ( ) ; ˶ˆ꒳ˆ˵ % & &
· エクスポート」をクリックします。
· 単一の証明書をエクスポートする場合は、生成されるファイルは sslcert_{certname}.pfx という名前になります。たとえば、sslcert_Test1Cert.pfx のようになります。
· 複数の証明書をエクスポートする場合、生成されるファイルは JNBK ファイルになります。ファイル名は sslcert__pack.jnbk となります。
注)JNBKファイルは、ADCが作成する暗号化されたコンテナファイルで、ADCへのインポート時のみ有効です。
ウィジェット
ライブラリ」>「ウィジェット」ページでは、カスタムダッシュボードに表示される様々な軽量のビジュアルコンポーネントを設定することができます。
設定済みウィジェット
Configured Widgets」セクションでは、「available widgets」セクションから作成されたウィジェットの表示、編集、削除を行うことができます。
利用可能なウィジェット
ADC内には5種類のウィジェットが用意されており、必要に応じてそれらを設定することができます。
イベントウィジェット
· Events "ウィジェットにイベントを追加するには、"Add "ボタンをクリックします。
· イベントの名前を記入します。この例では、イベント名として「Attention Events」を追加しています。
· キーワードフィルターを追加しました。また、Attentionのフィルター値を追加しています。
· 保存」をクリックし、「閉じる」をクリックします。
· Configured Widgets」のドロップダウンに「Attention Events」というウィジェットが追加されています。
· これで、「表示」→「ダッシュボード」セクションにこのウィジェットが追加されたことがわかります。
· Attention Events」ウィジェットを選択すると、ダッシュボード内に表示されます。以下を参照してください。
また、「Pause Live Data」ボタンをクリックすると、ライブデータの配信を一時停止したり、再開したりすることができます。また、「Default Dashboard」ボタンをクリックすれば、いつでもデフォルトのダッシュボードに戻すことができます。
システム・グラフ・ウィジェット
ADCには、設定可能な「System Graph」ウィジェットがあります。ウィジェットの「Add」ボタンをクリックすると、以下の監視グラフを追加して表示することができます。
· CPU
· MEMORY
· DISK
追加した後は、ダッシュボードのウィジェットメニューで個別に利用できるようになります。
インターフェース・ウィジェット
インターフェース」ウィジェットでは、ETH0、ETH1など、選択したネットワーク・インターフェースのデータを表示することができます。追加可能なインターフェイスの数は、仮想アプライアンスに定義した、またはハードウェアアプライアンス内でプロビジョニングしたネットワークインターフェイスの数によって異なります。
完了したら、「Save」ボタン、「Close」ボタンの順にクリックします。
ダッシュボード内のウィジェットのドロップダウンメニューから、先ほどカスタマイズしたウィジェットを選択します。すると、以下のような画面が表示されます。
ステータスウィジェット
Statusウィジェットでは、ロードバランシングの動作を確認することができます。また、表示をフィルタリングして特定の情報を表示することもできます。
· Add」をクリックします。
· 監視したいサービスの名前を入力する
· また、ウィジェットに表示する列を選択することもできます。
· 問題がなければ、「Save」をクリックし、「Close」をクリックします。
· 選択されたステータスウィジェットは、ダッシュボードセクションで利用可能になります。
トラフィック・グラフィックス・ウィジェット
このウィジェットは、仮想サービスやリアルサーバーごとの現在および過去のトラフィックデータを表示するように設定できます。さらに、グローバルトラフィックの全体的な現在および過去のデータを表示することもできます。
· 追加ボタンをクリック
· ウィジェットに名前をつけてください。
· Virtual Services」、「Real Servers」、「System」からデータベースを選択します。
· Virtual Services」を選択した場合は、「VS/RS」ドロップダウンから仮想サービスを選択できます。
· Last」のドロップダウンから期間を選択します。
o 分-最後の60秒
o Hour - 過去60分間の各分のデータを集約したもの
o Day - 過去24時間の各時間帯のデータを集約したもの
o 週 - 過去7日間の各日のデータを集計
o 月 - 過去7日間の各週のデータを集約したもの
o 年 - 過去12ヶ月間の各月のデータを集計
· 選択したデータベースに応じて、利用可能なデータを選択します。
o バーチャルサービスデータベース
o のバイト数
o バイトアウト
o キャッシュされたバイト数
o 圧縮率
o 現在の接続
o 1秒あたりのリクエスト数
o キャッシュヒット
o キャッシュヒット率
· リアルサーバー
o のバイト数
o バイトアウト
o 現在の接続
o リクエスト・パー・セカンド
o 応答時間
· システム
o CPUの割合
o サービス CPU
o メモリ容量
o ディスクの空き容量
o のバイト数
o バイトアウト
· 平均値とピーク値のどちらを表示するかを選択
· すべてのオプションを選択したら、「保存して閉じる」をクリックします。
トラフィックグラフの例
トラフィックグラフのウィジェットを「表示」→「ダッシュボード」に追加できるようになりました。
