SSLで暗号化された接続を使用しているサーバーでレイヤー7の負荷分散を成功させるためには、ADCにターゲットサーバーで使用されているSSL証明書を装備する必要があります。これは、データストリームを復号し、検査し、管理し、ターゲットサーバーに送信する前に再度暗号化するためです。
SSL証明書には、ADCが生成する自己署名証明書から、信頼できるプロバイダーが提供する従来の証明書(ワイルドカードを含む)まであります。また、Active Directoryから生成されるドメイン署名付き証明書を使用することもできます。
ADCはSSL証明書を使って何をするのですか?
ADCは、データに含まれる内容に応じて、トラフィック管理ルール(flightPATH)を実行できます。この管理は、SSL暗号化されたデータに対しては実行できません。ADCがデータを検査する際には、まずデータを復号化する必要があり、そのためにはサーバーが使用しているSSL証明書が必要です。復号化されると、ADCはflightPATHルールを検査・実行できるようになります。その後、データはSSL証明書を使って再度暗号化され、最終的にReal Serverに送信されます。
証明書の作成
ADCはグローバルに信頼されたSSL証明書を使用することができますが、自己署名付きSSL証明書を生成することもできます。自己署名入りSSLは、内部のロードバランシングの要件に最適です。ただし、お客様のITポリシーによっては、信頼できるCA証明書やドメインCA証明書が必要になる場合があります。
ローカルSSL証明書の作成方法
· 上記の例のように、すべての詳細を記入してください。
· ローカル証明書の作成」をクリックします。
· これをクリックすると、証明書をバーチャルサービスに適用することができます。
証明書要求(CSR)の作成
グローバルに信頼されるSSLを外部のプロバイダーから取得する必要がある場合、SSL証明書を生成するためのCSRを生成する必要があります。
上記のフォームに必要な情報を入力し、「証明書発行依頼」ボタンをクリックします。あなたが提供したデータに対応するポップアップが表示されます。
その内容をテキストファイルにカット&ペーストし、CSRファイルの拡張子をつけてください(例:mycert.csr)。このCSRファイルを認証局に提出して、SSL証明書を作成してもらう必要があります。
証明書の管理
このサブセクションには、ADC内で使用するSSL証明書を管理するためのさまざまなツールが含まれています。
ショー
インストールされているSSL証明書の詳細を確認したい場合があります。
· ドロップダウンメニューから証明書を選択する
· 表示ボタンをクリック
· 以下のようなポップアップが表示され、証明書の詳細が表示されます。
証明書のインストール
信頼できる認証局から証明書を入手したら、生成されたCSRと照合し、ADC内にインストールする必要があります。
· 上記の手順で生成した証明書を選択します。ラインアイテムに(Pending)のステータスが固定されています。この例では、MyCompanyCertificateが上の画像のように表示されます。
· テキストエディタで証明書ファイルを開く
· ファイルの内容をすべてクリップボードにコピーする
· 信頼できる機関から受け取った署名入りSSL証明書の内容を、「Paste Signed」と書かれた欄に貼り付けます。
· また、その下の「インターメディエイト」にも、順番に気をつけて貼り付けてください。
1. (TOP) サイン入り証明書
2. (上から2番目) 中級編
3. (上から3番目) 中級編
4. (下) 中級3
5. ルート認証局 クライアントマシンに存在しているので、追加する必要はありません。
(ADCは、Real Serverのクライアントとして動作する再暗号化のためのルートバンドルも含んでいます)
· インストールをクリック
· 証明書のインストールが完了すると、証明書の横にステータス(Trusted)が表示されます。
中間順序を間違えて入力した場合は、「証明書(信頼済み)」を選択し、正しい順序で証明書(署名済み証明書を含む)を再度追加し、「インストール」をクリックする
中級者向け
場合によっては、中間証明書を別途追加する必要があります。例えば、中間証明書を持たない証明書をインポートした場合などです。
· 証明書(信頼済み)または証明書(インポート)をハイライト表示する
· 認証局に最も近い中間体が最後に貼り付けられるように注意しながら、中間体を下から順に貼り付けます。
· Add Intermediate」をクリックします。
注文を間違えてしまった場合は、プロセスを繰り返し、再度中間体を追加することができます。この操作では、前の中間体が上書きされるだけです。
証明書の削除
削除ボタンを使って、証明書を削除することができます。削除すると、証明書はADCから完全に削除されますので、証明書を交換し、必要に応じてバーチャルサービスに再適用する必要があります。
注:証明書を削除する前に、その証明書が運用中のVIPに添付されていないことを確認してください。
証明書の更新
Renew」ボタンをクリックすると、新しい Certificate Signing Request を取得することができます。この操作は、証明書の有効期限が切れて更新する必要がある場合に必要です。
· ドロップダウンリストから証明書を選択してください。
· 更新をクリック
· 新しいCSRの詳細をコピーして、新しい証明書を取得できるようにする。
· 新しい証明書を取得する際には、以下の手順を踏んでください。
· 
· インストールされているSSL証明書の詳細を確認したい場合があります。
· ドロップダウンメニューから証明書を選択する
· 表示ボタンをクリック
· 以下のようなポップアップが表示され、証明書の詳細が表示されます。
· 証明書のインストール
· これで、新しく更新された証明書がADCにインストールされます。
証明書のインポート
多くの場合、企業は、内部のセキュリティ体制の一部として、ドメイン署名された証明書を使用する必要がある。証明書はPKCS#12形式でなければならず、パスワードは常にこのような証明書を保護している。
下の図は、1つのSSL証明書をインポートするためのサブセクションを示しています。
· 証明書に親しみやすい名前を付けます。この名前は、ADC で使用されるドロップダウンリストで証明書を識別します。証明書のドメイン名と同じである必要はありませんが、空白を含まない英数字である必要があります。_と-以外の特殊文字は使用できません。
· PKCS#12証明書の作成に使用したパスワードを入力します。
· 証明書名}.pfxを参照します。
· Import」をクリックします。
· ADC内のSSLドロップダウンメニューに証明書が表示されます。
複数の証明書のインポート
ここでは、複数の証明書を含むJNBKファイルのインポートを行います。JNBKファイルは、複数の証明書をエクスポートする際に、ADCが暗号化して作成します。
· JNBK ファイルを参照します。複数の証明書をエクスポートすることで、これらのファイルを作成することができます。
· JNBKファイルの作成時に使用したパスワードを入力してください。
· Import」をクリックします。
· 証明書は、ADC内の関連するSSLドロップダウンメニューに表示されます。
証明書のエクスポート
時折、ADC内に保持されている証明書の一つをエクスポートしたいと思うことがあります。ADCはこれを行う機能を備えています。
· インストールする証明書をクリックします。リストにあるすべての証明書を選択するには、[すべて]オプションをクリックします。
· エクスポートされたファイルを保護するためのパスワードを入力します。パスワードの長さは6文字以上でなければなりません。使用できる文字は、アルファベット、数字、一部の記号です。< > " ' ( ) ; ˶ˆ꒳ˆ˵ % & &
· エクスポート」をクリックします。
· 単一の証明書をエクスポートする場合は、生成されるファイルは sslcert_{certname}.pfx という名前になります。たとえば、sslcert_Test1Cert.pfx のようになります。
· 複数の証明書をエクスポートする場合、生成されるファイルは JNBK ファイルになります。ファイル名は sslcert__pack.jnbk となります。
注)JNBKファイルは、ADCが作成する暗号化されたコンテナファイルで、ADCへのインポート時のみ有効です。
