証明書を更新する¶
- 動作確認バージョン
vThunder Version 6.0.7-P2
注釈
当該作業における通信影響として、瞬間的に新規のSSL接続を受け付けられず接続が失敗する 場合があります。
なお、接続中の通信については通信影響はありません。 (作業実施時に既存セッションは切断されず維持されます。)
新しく登録するサーバー証明書名、秘密鍵ファイル名、中間証明書名は既存のファイル名とは別名で登録してください。
構成図
新しいサーバー証明書(SSL証明書)/SSL秘密鍵/中間証明書を登録する¶
サンプル設定のシナリオ
証明書の登録・削除・詳細表示 を参考に、新しいサーバー証明書/秘密鍵/中間証明書ファイルをインポートする
設定項目 |
設定値 |
サーバー証明書 |
NEW_servercert(任意のファイル名) |
秘密鍵 |
NEW_servercert_key(任意のファイル名) |
中間証明書 |
NEW_IntermediateCA(任意のファイル名) |
注釈
新しく登録するサーバー証明書名、秘密鍵ファイル名、中間証明書名は既存のファイル名とは別名で登録してください。
中間証明書名の更新を行わず、サーバー証明書及び秘密鍵ファイルのみを更新する場合は、中間証明書のファイルをインポートする作業は不要です。
更新作業:SSLテンプレートの設定を変更(新しい中間証明書とサーバー証明書を紐づける)¶
- ここでは、以下の2パターンのシナリオを掲載します。
パターン1「サーバー証明書/秘密鍵ファイル/中間証明書を更新する」
パターン2「中間証明書は更新せず、サーバー証明書/秘密鍵ファイルのみ更新する場合」
サンプル設定のシナリオ (パターン1:サーバー証明書/秘密鍵ファイル/中間証明書を更新する)
SSLテンプレートの設定(中間証明書・サーバー証明書・秘密鍵の紐づけ) を参考に、既存のSSLテンプレート「servercert」の古いサーバー証明書群から新しいサーバー証明書と中間証明書を紐づけます
設定項目 |
設定値 |
サーバー証明書 |
NEW_servercert(任意のファイル名) |
秘密鍵 |
NEW_servercert_key(任意のファイル名) |
中間証明書 |
NEW_IntermediateCA(任意のファイル名) |
SSLテンプレート名 |
servercert(既存のテンプレート名) |
注釈
新しく登録するサーバー証明書名、秘密鍵ファイル名、中間証明書名は既存のファイル名とは別名で登録してください。
下記のCLIコマンドのように既存のSSLテンプレートを編集することでサーバー証明書および秘密鍵は上書きされます。よって、古いサーバー証明書及び秘密鍵を削除する(例:no certificate XXX 等)といった操作は不要です。
ただし、中間証明書は上書きされません。よって、下記のCLIコマンドのように不要なファイルは「no」として削除してください。
CLIにて入力するコマンド
vThunder-Active(config)#slb template client-ssl servercert
vThunder-Active(config-client ssl)#no ca-cert IntermediateCA
vThunder-Active(config-client ssl)#ca-cert NEW_IntermediateCA
vThunder-Active(config-client ssl)#certificate NEW_servercert key NEW_servercert_key
正しく設定が完了したときのコンフィグレーションは次のとおり。
vThunder-Active(config-client ssl)#show run slb template client-ssl servercert
!Section configuration: 125 bytes
!
slb template client-ssl servercert
ca-cert NEW_IntermediateCA
certificate NEW_servercert key NEW_servercert_key
!
動作確認結果
以下のコマンドで、StateがUPになっていることを確認する。
vThunder-Active#show slb virtual-server vserver02
Virtual server: vserver02 State: All Up IP: 172.16.10.102
Port Curr-conn Total-conn Rev-Pkt Fwd-Pkt Peak-con
-------------------------------------------------------------------------------
Virtual Port:443 / service:servicegroup01 / state:All Up
port 443 https 0 123 25029 2153 0
vThunder-Active#
サンプル設定のシナリオ(パターン2:中間証明書は更新せず、サーバー証明書/秘密鍵ファイルのみ更新する場合)
SSLテンプレートの設定(中間証明書・サーバー証明書・秘密鍵の紐づけ) を参考に、既存のSSLテンプレート「servercert」の古いサーバー証明書群から新しいサーバー証明書と中間証明書を紐づけます
設定項目 |
設定値 |
サーバー証明書 |
NEW_servercert(任意のファイル名) |
秘密鍵 |
NEW_servercert_key(任意のファイル名) |
SSLテンプレート名 |
servercert(既存のテンプレート名) |
注釈
新しく登録するサーバー証明書名、秘密鍵ファイル名、中間証明書名は既存のファイル名とは別名で登録してください。
下記のCLIコマンドのように既存のSSLテンプレートを編集することでサーバー証明書および秘密鍵は上書きされます。よって、古いサーバー証明書及び秘密鍵を削除する(例:no certificate XXX 等)といった操作は不要です。
当該パターンでは中間証明書の更新は行いませんので、中間証明書に対して操作は行いません。
CLIにて入力するコマンド
vThunder-Active(config)#slb template client-ssl servercert
vThunder-Active(config-client ssl)#certificate NEW_servercert key NEW_servercert_key
正しく設定が完了したときのコンフィグレーションは次のとおり。
vThunder-Active(config-client ssl)#show run slb template client-ssl servercert
!Section configuration: 121 bytes
!
slb template client-ssl servercert
ca-cert IntermediateCA
certificate NEW_servercert key NEW_servercert_key
!
動作確認結果
以下のコマンドで、StateがUPになっていることを確認する。
vThunder-Active#show slb virtual-server vserver01
Virtual server: vserver01 State: All Up IP: 172.16.10.101
Port Curr-conn Total-conn Rev-Pkt Fwd-Pkt Peak-con
-------------------------------------------------------------------------------
Virtual Port:80 / service:virtual_server01 / state:All Up
port 80 http 0 0 0 0 0