証明書の登録・削除・詳細表示

動作確認バージョン

vThunder Version 6.0.7-P2

ロードバランサーではSSLオフロード機能を使用できます。

SSLオフロード機能を使用することにより、クライアントから送信されるSSLの復号をロードバランサーで行えるようになり、サーバー側の負荷を軽減できます。

SSLオフロード機能を使用するためには、次の作業が必要です。

1.ロードバランサーにサーバー証明書（SSL証明書）と秘密鍵、中間証明書（CA証明書）を登録する

2.SSLテンプレートの設定(中間証明書・サーバー証明書・秘密鍵の紐づけ) を行う

3.Virtual Serverをプロトコル「HTTPS」で設定し、前項2の設定を紐づける

ここでは、No.1の「ロードバランサーにサーバー証明書（SSL証明書）と秘密鍵、中間証明書（CA証明書）を登録する」方法と証明書ファイルの削除や詳細表示する方法について紹介します。

注釈

本シナリオでは動作確認のため、試験用の仮証明書で動作確認を行っていますが、サーバー証明書、中間証明書は必ず認証局が発行したものをご使用ください。

サーバー証明書／SSL秘密鍵を登録する

サンプル設定のシナリオ

• ロードバランサーにサーバー証明書「servercert」とSSL秘密鍵「servercert_key」を登録したい

構成図

シナリオにおける設定のながれ

1.以下のコマンドをロードバランサーにて実行してサーバー証明書「servercert」をインポートする。

CLIにて入力するコマンド

vThunder#import cert servercert certificate-type pem scp://192.168.1.11/home/ubuntu/servercert.pem
User name []?ubuntu
Password []?
Done.

2.以下のコマンドを実行して、出力結果からサーバー証明書「servercert」が表示されることを確認する。

CLIにて入力するコマンド

vThunder#show pki cert
Name        Type                       Expiration  Status
-----------------------------------------------------------------------
servercert  certificate  Jan  4 10:23:27 2121 GMT  [Unexpired, Unbound]

3.以下のコマンドをロードバランサーにて実行してSSL秘密鍵「servercert_key」をインポートする。

CLIにて入力するコマンド

vThunder#import key servercert_key scp://192.168.1.11/home/ubuntu/servercert_key.pem
User name []?ubuntu
Password []?
Done.

4.以下のコマンドを実行して、出力結果からSSL秘密鍵「servercert_key」が表示されることを確認する。

CLIにて入力するコマンド

vThunder#show pki cert
Name            Type                       Expiration  Status
---------------------------------------------------------------------------
servercert      certificate  Jan  4 10:23:27 2121 GMT  [Unexpired, Unbound]
servercert_key  key                                    [Unbound]

以上でサーバー証明書およびSSL秘密鍵の登録作業は終了です。

続いて、中間証明書（CA証明書）を同様の手順で登録します。

中間証明書を登録する

サンプル設定のシナリオ

• ロードバランサーに中間証明書「IntermediateCA」を登録したい

シナリオにおける設定のながれ

1.以下のコマンドをロードバランサーにて実行して中間証明書「IntermediateCA」をインポートする。

CLIにて入力するコマンド

vThunder#import ca-cert IntermediateCA certificate-type pem scp://192.168.1.11/home/ubuntu/IntermediateCA.pem
User name []?ubuntu
Password []?
Done.

2.以下のコマンドを実行して、中間証明書「IntermediateCA」が表示されることを確認する。

CLIにて入力するコマンド

vThunder#show pki ca-cert
Name               Type                       Expiration  Status
------------------------------------------------------------------------------
default_ca_bundle  certificate  Jan 28 12:00:00 2028 GMT  [Unexpired, Unbound]
IntermediateCA     certificate  Jan  4 10:13:10 2121 GMT  [Unexpired, Unbound]

以上で中間証明書の登録作業は終了です。

なお、登録した各証明書の内容を参照したい、または削除したい場合は以降の手順を参考にしてください。

証明書の詳細を確認する

サンプル設定のシナリオ

• ロードバランサーに登録しているサーバー証明書「servercert」の内容を参照したい

シナリオにおける設定のながれ

以下のコマンドをロードバランサーにて実行する。出力結果より、Issuer（発行者）、Validity（有効期間）、Subject（主体）といった情報が確認できる。

CLIにて入力するコマンド

vThunder#show pki cert servercert
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=JP, ST=Chiyoda-ku, O=NTT Ltd Japan TESTONLY, OU=ICT Infrastructure Services TESTONLY, CN=TESTONLY InterCA
        Validity
            Not Before: Jan 28 10:23:27 2021 GMT
            Not After : Jan  4 10:23:27 2121 GMT
        Subject: C=JP, ST=Chiyoda-ku, O=NTT Ltd Japan TESTONLY, OU=ICT Infrastructure Services TESTONLY, CN=*.example.com
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Cert Type:
                SSL Server
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                78:5A:09:E0:74:EC:B4:22:79:DF:41:8D:D0:77:78:DA:0A:49:13:D6
            X509v3 Authority Key Identifier:
                keyid:27:64:38:E2:AE:BD:61:80:FE:3F:0E:7F:97:14:4D:9C:77:8E:C0:EF

サーバー証明書／SSL秘密鍵／中間証明書を削除する

サンプル設定のシナリオ

• ロードバランサーに登録したサーバー証明書「servercert」を削除したい

シナリオにおける設定のながれ

1.以下のコマンドをロードバランサーにて実行してサーバー証明書「servercert」を削除する。

CLIにて入力するコマンド

vThunder(config)#pki delete certificate servercert
vThunder(config)#

2.以下のコマンドを実行して、出力結果からサーバー証明書「servercert」が表示されないことを確認する。

CLIにて入力するコマンド

vThunder(config)#show pki cert
Name            Type  Expiration  Status

servercert_key  key               [Unbound]
vThunder(config)#

サンプル設定のシナリオ

• ロードバランサーに登録したSSL秘密鍵「servercert_key」を削除したい

シナリオにおける設定のながれ

1.以下のコマンドをロードバランサーにて実行してSSL秘密鍵「servercert_key」を削除する。

CLIにて入力するコマンド

vThunder(config)#pki delete private-key servercert_key
vThunder(config)#

2.以下のコマンドを実行して、出力結果からSSL秘密鍵「servercert_key」が表示されないことを確認する。

CLIにて入力するコマンド

vThunder#show pki cert
vThunder#

サンプル設定のシナリオ

• ロードバランサーに登録した中間証明書「IntermediateCA」を削除したい

シナリオにおける設定のながれ

1.以下のコマンドをロードバランサーにて実行して中間証明書「IntermediateCA」を削除する。

CLIにて入力するコマンド

vThunder(config)#pki delete certificate ca IntermediateCA
vThunder(config)#

2.以下のコマンドを実行して、中間証明書「IntermediateCA」が表示されないことを確認する。

CLIにて入力するコマンド

vThunder#show pki ca-cert
Name               Type                       Expiration  Status
------------------------------------------------------------------------------
default_ca_bundle  certificate  Jan 28 12:00:00 2028 GMT  [Unexpired, Unbound]

目次

• ロードバランサー（vThunder ADC）コンソールからの申込・操作方法
  • ロードバランサーインスタンスの申込方法
  • ロードバランサーインスタンスの操作方法
  • ロードバランサーインスタンスのステータス説明
  • ロードバランサーインスタンスの削除方法
• ロードバランサー(vThunder ADC) の動作確認済設定例
  • ロードバランサー(vThunder ADC)の脆弱性対策
  • ロードバランサー(vThunder ADC) の基本機能
  • ネットワーク機能設定
  • ロードバランシング機能
  • 運用管理設定
  • 保守運用者向け機能
  • コンフィグレーションの保存・リストア
  • 事業者が設定するコンフィグレーションの説明
  • 異なるバージョン間の切替
  • ロードバランサー（NetScaler VPX）からロードバランサー（vThunder ADC）への移行手順
  • （参考）ロードバランサー（vThunder ADC）の性能測定結果
  • （参考）A10 vThunder ADC ユーザーガイド

---

SSLオフロード機能を利用する

SSLテンプレートの設定（中間証明書・サーバー証明書・秘密鍵の紐づけ）