証明書を登録する方法¶
| 動作確認バージョン: | NetScaler VPX Version12.1 Standard Edition, NetScaler VPX Version13.1 Standard Edition |
|---|
ロードバランサーではSSLオフロード機能を使用することが可能です。
SSLオフロード機能を使用することにより、クライアントから送信されるSSLの復号化をロードバランサーで行い、サーバーの負荷を軽減することが可能です。
SSLオフロード機能を使用するためには、ロードバランサーにサーバー証明書と中間証明書を登録し、紐付けを行う設定が必要となります。
ここでは、証明書の登録方法について紹介します。
- サーバー証明書、中間証明書は必ず認証局が発行したものをご使用下さい。
- ロードバランサーで指定可能な証明書のフォーマットはPEM/DERとなります。
- 製品不具合により、以下全ての条件を満たし証明書及び鍵を登録した場合、「Password required for private key」というメッセージが表示され、インストールすることができません。NetScaler VPXやLinux OS上で作成した改行コード「\r\n」を含まない鍵をご利用ください。
- GUIで登録を実施する
- パスワード付きの鍵と鍵付きの証明書を使用する
- 鍵の改行コードに「\r\n」を含む(主にWindows上で作成された場合に発生)
- 複数証明書を登録する際は、各々別のファイル名で登録してください。
- NetScaler VPX 11.0-67.12 Standard Edition では下記の点にご留意ください。
- ロードバランサーに置かれている証明書に関して、内容確認/削除/ダウンロード ができません。
- 上記仕様のためロードバランサー上で作成した証明書を手元にダウンロードすることはできませんので、外部サーバーで作成した証明書をロードバランサーにインポートする方法にて動作確認を実施しております。
- ただし、ロードバランサーに一旦インポートした証明書は、内容確認/削除/ダウンロード が出来ませんので、再作成時など再度証明書をインポートする必要がある場合に備え、証明書はお客さまのお手元の環境に保存されることをお勧めいたします。
サンプル設定のシナリオ
- ロードバランサーにサーバー証明書、中間証明書の登録をしたい
注釈
本シナリオでは動作確認のため、試験用の仮証明書で動作確認を行っております。
構成図
「Configuration」メニューから「TrafficManagement」→「SSL」→「Certificates」→「Server Certificates」へと進み、Server Certificates画面を表示後、「Install」をクリックします。
Install Certificate画面では以下のとおりに入力していきます。
| 設定項目 | 設定値 |
| Certificate-Key Pair Name | example-IA(任意の名前) |
| Certificates File Name | la.crt(事前に用意したサーバー証明書) |
| key File Name | la.key(事前に用意した鍵) |
| Password | (指定のパスワード) |
| Notification Period | 30 |
注釈
Citrix NetScaler VPX 12.0 Standard Edition ではPasswordの指定は不要です。
Certificate-Key Pair Nameを入力し、次にCertificates File Nameはプルダウンを開きます。
Certificates File Nameは、下記画面のように「Local」を選択します。
作業しているローカルPCのフォルダー画面が表示されるので、認証局が発行したサーバー証明書(.crtファイル)を選択、ダブルクリックします。
同様に、key File Nameの入力も、下記画面のように「Local」をクリックします。
作業しているローカルPCのフォルダー画面が表示されるので、認証局が発行した鍵(.keyファイル)を選択、ダブルクリックします。
パスワードを入力し、「Install」をクリックします。
注釈
Citrix NetScaler VPX 12.0,12.1 Standard Edition ではPasswordの指定は不要です。
SSL Certificates画面が表示されるので、一覧表示に「example-IA」が登録されます。
これでサーバー証明書の登録が完了しました。
続けて中間証明書も同様の手順で登録します。
「Configuration」メニューから「TrafficManagement」→「SSL」→「Certificates」→「CA Certificates」へと進み、CA Certificates画面を表示後、「Install」をクリックします。
Install Certificate画面では以下のとおりに入力していきます。
| 設定項目 | 設定値 |
| Certificate-Key Pair Name | example-CA(任意の名前) |
| Certificates File Name | ca.crt(事前に用意したサーバー証明書) |
| key File Name | ca.key(事前に用意した鍵) |
| Password | (指定のパスワード) |
| Notification Period | 30 |
注釈
原則key File NameとPasswordの指定は不要です。空欄のまま登録をお願いいたします。
Certificate-Key Pair Nameを入力し、次にCertificates File Nameはプルダウンをクリックます。
Certificates File Nameは、下記画面のように「Local」をクリックし入力します。
作業しているローカルPCのフォルダー画面が表示されるので、認証局が発行した中間証明書(.crtファイル)を選択、ダブルクリックします。
同様に、key File Nameも「Local」をクリックします。
注釈
Citrix NetScaler VPX 12.0,12.1 Standard Edition ではkey File Nameの指定は不要です。
作業しているローカルPCのフォルダー画面が表示されるので、認証局が発行した鍵(.keyファイル)を選択、ダブルクリックします。
パスワードを入力し、「Install」をクリックします。
注釈
Citrix NetScaler VPX 12.0,12.1 Standard Edition ではPasswordの指定は不要です。
SSL Certificates画面が表示されるので、一覧表示に「example-CA」が登録されます。
これで中間証明書の登録が完了しました。