F5 Big IP Controller 4.X の証明書のインストール

Configurationユーティリティーかコマンド行によって、鍵、一時証明書、および証明書要求フォームを作成できます。

注: このプロセスではConfigurationユーティリティーの使用をお勧めします。認証プロセスは通常、Webページで処理されます。認証プロセスのいくつかのパートでは、Configurationユーティリティーにおけるブラウザーウィンドウ内の情報をWebサイトの別のブラウザーウィンドウにカット&ペーストする必要があります。

各BIG-IPコントローラーまたはBIG-IPコントローラーの冗長ペアでは各ドメインネームごとに個別の証明書を持つ必要があります。これはBIG-IPコントローラーによって何台の非SSLWebサーバーがロードバランスされるかとは無関係です。
すでにSSLサーバーが稼動している場合は、既存の鍵を使って一時証明書と要求ファイルを作成できます。ただし、持っている証明書のWebサーバータイプがApache + OpenSSL Strongholdでない場合は、新規の証明書を取得する必要があります。

Configurationユーティリティーによる鍵の生成と証明書の取得
証明書を取得するには、秘密鍵が必要です。秘密鍵を持っていない場合は、BIG-IPコントローラー上でConfigurationユーティリティーを使用して秘密鍵と一時証明書を生成できます。Configurationユーティリティーを使用すると、サブミットできる要求ファイルを作成することもできます。秘密鍵と一時証明書を作成するために、Configurationユーティリティーで次の作業を実行する必要があります。
証明書要求を生成します。
生成した証明書要求を認証局に送り、一時証明書を生成します。
認証局から発行されたSSL証明書をインストールします。
最後に、中間CA証明書をインストールします。

Configurationユーティリティーを使って新規の証明書要求を作成するには、次のようにします。
ナビゲーションペインで[Proxies]をクリックします。[Proxies]画面が開きます。
[Proxies]画面で、[Create SSL Certificate Request]タブをクリックすると、[New SSL Certificate Request]画面が開きます。[Key Information]セクションで、鍵長と鍵ファイル名を選択します。512バイトか1024バイトを選べます。鍵ファイルの名前を入力します。これは証明書を要求したいサーバーの完全修飾ドメインネームでなければなりません。鍵ファイル拡張子を名前に付加する必要があります。

[Certificate Information]セクションで、お客さまの会社独自の情報を入力します。
Country - 国を示す2文字のISOコードを入力します。
StateまたはProvince - 都道府県のフルネームを入力します。
Locality - 市区町村の名前を入力します。
Organization - 組織の名前を入力します。
Organizational Unit - 部署名を入力します。
Domain Name - サーバーがインストールされているドメインの名前を入力します。
Email Address - 連絡担当者のメールアドレスを入力します。
Challenge Password - チャレンジパスワードとして使用したいパスワードを入力します。
Retype Password - チャレンジパスワードとして入力したパスワードを再入します。

[Generate Certificate Request]ボタンをクリックします。
小休止後、[SSL Certificate Request]画面が開きます。この画面で、認証局発行の証明書を取得するプロセスを開始し、次に一時証明書を生成、インストールします。

一時証明書を生成、インストール
[Generate Self-Signed Certificate]ボタンをクリックして当該サーバーの自己証明証明書を作成します。一時証明書はテスト用にのみ使用することをお勧めします。お客さまのサイトをアクティブにするのは、認証局から正しく署名された証明書を受け取った後にしてください。[Generate Self-Signed Certificate]ボタンをクリックすると、一時証明書が作成され、BIG-IPコントローラー上にインストールされます。認証局が永久証明書を返すのを待っている間、この一時証明書を使ってSSLアクセラレーターのSSLゲートウェイをセットアップできます。

コマンド行から鍵を生成し、証明書を取得
有効な証明書を取得するには、秘密鍵が必要です。秘密鍵を持っていない場合でも、BIG-IPコントローラー上でgenconfユーティリティーとgenkeyユーティリティーを使用して秘密鍵と一時証明書を生成できます。genkeyユーティリティーとgencertユーティリティーは自動的に要求ファイルを生成し、お客さまはこれを認証局に送信できます。秘密鍵を持っている場合は、gencertユーティリティーを使って一時証明書と要求ファイルを生成できます。

この3つのユーティリティーについて以下に説明します。

genconf - お客さまの組織固有の情報を含んだ鍵構成ファイルを作成します。genkeyユーティリティーがこの情報を使って一時証明書を生成します。

genkey - genconfユーティリティー実行後、このユーティリティーを起動して30日間有効の一時証明書を生成します。この一時証明書によって、BIG-IPコントローラー上でSSLアクセラレーターをテストします。またこのユーティリティーは要求ファイルを作成します。これを認証局に送って証明書を取得できます。

gencert - すでに鍵がある場合は、このユーティリティを実行してＳＳＬアクセラレーターの一時証明書と要求ファイルを生成します。

genconfユーティリティーを使って鍵構成ファイルを生成
鍵がない場合でも、genｃonfユーティリティーとgenkeyユーティリティーによって鍵と一時証明書を生成できます。最初に、次のコマンドを用いてルート(/) からgenconfユーティリティーを起動します。

cd /
/usr/local/bin/genconf

証明書を要求している組織の情報を入力するよう求められます。以下のような情報です。
サーバーの完全修飾ドメインネーム(FDQN)
国を表す2文字のISOコード
州か県のフルネーム
市か町の名前
組織名
部署名または組織単位

genkeyユーティリティを使って鍵を生成
genconfユーティリティーを実行後、genkeyユーティリティーで鍵を生成できます。

cd / /user/local/bin/genkey

genkeyユーティリティが開始すると、genconfユーティリティーが作成した情報の確認を求められます。genkeyユーティリティー実行後、次のディレクトリーに証明書要求フォームが作成されます。

/config/bigconfig/fqdn.req

認証局に送信できる証明書要求フォームを作成する以外に、このユーティリティーは一時証明書も生成します。一時証明書は以下に置かれます。

/config/bigconfig/ssl.crt/fqdn.crt

"fqdn" はサーバーの完全修飾ドメインネームです。鍵と一時証明書は冗長システムにおける他のコントローラーにコピーしなければなりませんが、SSLプロキシーの場合、認証局から有効な証明書を取得する必要があります。

gencertユーティリティを使い既存の鍵によって証明書を生成
認証局に送る一時証明書と要求ファイルをgencertユーティリティーによって生成するには、まずサーバーの既存の鍵をBIG-IPコントローラー上の次のディレクトリーにコピーする必要があります。

/config/bigconfig/ssl.key/

鍵をコピーしたら、コマンド行で次のコマンドを入力します。

cd / /user/local/bin/gencert

gencertユーティリティーが起動すると、いろいろな情報の入力を求められます。gencertユーティリティー実行後、次のディレクトリーに証明書要求フォームが作成されます。

/config/bigconfig/ssl.crt/fqdn.req

"fqdn" はサーバーの完全修飾ドメインネームです。