5.4. HTTPS (Port 443)のロードバランシング設定: [パターンB]認証局発行の証明書の利用
認証局で署名されたサーバ証明書をインポートして利用する方法を記載します。
5.4.1. サーバ証明書の準備
(F5 UDF Labの場合) リモートデスクトップ接続したPCのデスクトップ上にある、以下のフォルダを開いてください。
このフォルダ内の以下2つのファイルを使用します。
秘密鍵ファイル: abcCompany-key.pem
サーバ証明書ファイル: abcCompany-cert.pem
5.4.2. 秘密鍵とサーバ証明書のインポート
まず、サーバの秘密鍵をインポートします。
「System」 → 「Certificate Management」 → 「Traffic Certificate Management」 → 「SSL Certificate List」で表示された画面右上の「Import」ボタンを押します。
Keyを選択します。
以下のように設定します。
以下の状態になります。
次に、サーバ証明書をインポートします。インポートした秘密鍵をクリックすると、以下の画面が現れます。「Import」ボタンを押します。
以下のように設定して、インポートします。
サーバ証明書がインポートされた状態です。
Client SSL Profileを作ります。「Local Traffic」 → 「Profiles」 → 「SSL」 → 「Client」で表示された画面右上の「Create」ボタンを押すと、以下の画面が表示されますので、以下のように設定します。
「Finished」ボタンを押すと、以下のようになります。
[パターンA]で作成済みのVirtual Server:Port443を開き、「SSL Profile (Client)」部分の設定を以下のように変更し、Updateボタンを押します。
(省略)
5.4.3. クライアントPCの設定
注釈
F5 UDF Lab環境では、CA証明書はクライアントに設定済みです。hostsファイルも編集済みです。
5.4.3.1. 認証局の証明書のインポート
サーバ証明書をBIG-IPにインポートしただけでは不十分です。このままでは、まだ、以下の画面を見ることになります。(例: Chrome)
このフォルダ内の以下のファイルを利用します。
認証局ファイル: cacert.pem
以下の手順でクライアントPCのWebブラウザ (例: Chrome)へインポートします。
クライアントPCのWebブラウザ (例: Chrome)へインポートします。Chromeの設定画面で、「プライバシーとセキュリティ」 → 「セキュリティ」 → 「証明書の管理」を選択します。
Windowsからインポートした証明書を管理するへ進みます。
信頼されたルート証明機関」タブを選択し、「インポート」ボタンを押して下ださい。
「次へ」を押して下さい。
インポートするファイルとして、認証局の証明書 (cacert.pem)を選び、「次へ」を押してください。
証明書ストアが「信頼されたルート証明機関」であることを確認し、「次へ」を押してください。
「完了」を押してください。
以下のようなセキュリティ警告が表示された場合、ここでは「はい」を選択します。
完了です。「OK」を押してください。
「信頼されたルート証明機関」に、(f5jca.f5jp.local)のルート証明書がインポートされました。
5.4.3.2. クライアントPCのhostsファイルの編集
DNSによる名前解決ができない環境の場合、URLとしてIPアドレスを入力することになります。この場合、クライアントPCへ認証局の証明書をインポートしても、引き続き、以下の画面が表示されます。
本例では、サーバ証明書のCommon Nameは「www.abc-company.com」です。
Windowsの「メモ帳」アプリを、管理者権限で実行します。
C:WindowsSystem32driversetchosts を編集します。(「hosts」デフォルト状態では表示されないかもしれません。その場合は左下の「すべてのファイル(.)」を選択してください。) hostsに指定するアドレスは、設定したVirtual ServerのIPアドレスを指定してください。
Webブラウザへ入力するURLは、IPアドレスではなくFQDN (https://www.abc-company.com)で入力します。これで、SSL証明書のセキュリティ警告を見ることなく、BIG-IPのVirtual Server経由でWebサーバへ接続することができます。
5.4.4. クライアントからのHTTPSアクセス
テスト用クライアントから、作成したVirtual Server (HTTPS)へアクセスし、正常にSSL処理が行われることを確認します。