トランスペアレント SSL アクセラレーションの設定
注: 展開環境によっては、NetScalerアプライアンスでL2モードを有効にする必要がある場合があります。
トランスペアレントSSLアクセラレーションは、同じパブリックIPを持つ安全なサーバー上で複数のアプリケーションを実行する場合に役立ちます。また、追加のパブリック IP を使用せずに SSL アクセラレーションを行うのにも役立ちます。
透過的なSSLアクセラレーション設定では、NetScalerアプライアンスはクライアントに対して透過的です。アプライアンスがリクエストを受信する IP アドレスは Web サーバーの IP アドレスと同じであるため、透過的です。
NetScalerアプライアンスは、SSLトラフィック処理をWebサーバーからオフロードし、クリアテキストまたは暗号化されたトラフィック(構成に応じて)をWebサーバーに送信します。その他のトラフィックはすべてアプライアンスに対して透過的に送信され、Web サーバにブリッジされます。したがって、サーバー上で実行されている他のアプリケーションには影響しません。
アプライアンスでは次の 3 つのトランスペアレントSSLアクセラレーションモードを使用できます。
- サービスベースのトランスペアレントアクセス。サービスタイプは SSL または SSL_TCP です。
- ワイルドカード IP アドレス (*: 443) による仮想サーバーベースの透過アクセス。
- エンドツーエンド暗号化による SSL VIP ベースのトランスペアレントアクセス。
注:SSL_TCP サービスは HTTPS 以外のサービス (SMTPS や IMAS など) に使用されます。
サービスベースのトランスペアレントSSLアクセラレーション
SSL サービスモードを使用して透過的な SSL アクセラレーションを有効にするには、実際のバックエンド Web サーバーの IP アドレスを使用して SSL または SSL_TCP サービスを設定します。仮想サーバーが SSL トラフィックをインターセプトしてサービスに渡す代わりに、トラフィックは直接サービスに渡されるようになりました。このサービスは SSL トラフィックを復号化し、クリアテキストデータをバックエンドサーバーに送信します。
サービスベースモードでは、個々のサービスを別の証明書または別のクリアテキストポートで設定できます。また、SSL アクセラレーションのサービスを個別に選択することもできます。
サービスベースの透過的な SSL アクセラレーションを、さまざまなプロトコルを使用するデータに適用できます。そのためには、SSL サービスのクリアテキストポートを SSL サービスとバックエンドサーバー間のデータ転送が行われるポートに設定します。
サービスベースのトランスペアレントSSLアクセラレーションを設定するには、まずSSLと負荷分散機能の両方を有効にします。次に、SSL ベースのサービスを作成し、そのクリアテキストポートを設定します。サービスが作成されたら、証明書とキーのペアを作成してこのサービスにバインドします。
例:
SSL オフロードとロードバランシングを有効にします。
ポート 443 を使用して IP アドレス 10.102.20.30 の SSL ベースのサービス Service-SSL-1 を作成し、そのクリアテキストポートを設定します。
次に、証明書とキーのペア CertKey-1 を作成し、それを SSL サービスにバインドします。
表1. サービスベースのトランスペアレントSSLアクセラレーションのエンティティ
| エンティティ | 名前 | 値 |
|---|---|---|
| SSL サービス | Service-SSL-1 | 102.20.30 |
| 証明書-キーペア | Certkey-1 | - |
ワイルドカードIPアドレスによる仮想サーバーベースのアクセラレーション (*: 443)
Web サイトの安全なコンテンツをホストする複数のサーバーで SSL アクセラレーションを有効にする場合は、ワイルドカード IP アドレスモードの SSL 仮想サーバーを使用してください。このモードでは、仮想サーバーごとに 1 つの証明書を使用する代わりに、セキュリティで保護された Web サイト全体に 1 つのデジタル証明書で十分です。その結果、SSL 証明書と更新にかかるコストが大幅に削減されます。ワイルドカード IP アドレスモードでは、証明書の一元管理も可能です。
NetScalerアプライアンスでグローバルトランスペアレントSSLアクセラレーションを構成するには、*: 443仮想サーバーを作成します。この仮想サーバーは、ポート 443 に関連付けられている任意の IP アドレスを受け入れます。次に、有効な証明書をこの仮想サーバーにバインドし、仮想サーバーの転送先となるすべてのサービスもバインドします。このような仮想サーバーは、HTTPベースのデータにはSSLプロトコル、非HTTPベースのデータにはSSL_TCPプロトコルを使用できます。
ワイルドカード IP アドレスを使用した仮想サーバベースのアクセラレーションの設定
- SSL の有効化で説明されているように、 SSL を有効にします。
- ロードバランシングの説明に従って、 ロードバランシングを有効にします。
- SSL ベースの仮想サーバーを追加し、 SSL オフロードの設定の説明に従ってClearTextPort パラメータを設定します。
- 「 証明書とキーのペアの追加または更新」の説明に従って、証明書とキーのペアを追加します。
注: ワイルドカード・サーバーはアプライアンス上で構成されたサーバーを自動的に学習するため、ワイルドカード仮想サーバーのサービスを構成する必要はありません。
例:
SSL オフロードとロードバランシングを有効にします。IP アドレスが*、ポート番号が 443 に設定された SSL ベースのワイルドカード仮想サーバーを作成し、そのクリアテキストポート (オプション) を設定します。
クリアテキストポートを指定すると、復号化されたデータがその特定のポートのバックエンドサーバーに送信されます。それ以外の場合は、暗号化されたデータがポート 443 に送信されます。
次に、SSL 証明書キーペア CertKey-1 を作成し、それを SSL 仮想サーバーにバインドします。
表2. ワイルドカード IP アドレスを使用した仮想サーバーベースのアクセラレーションのエンティティーの例
| エンティティ | 名前 | IPアドレス | ポート |
|---|---|---|---|
| SSL ベースの仮想サーバー | Vserver-SSL-Wildcard |
* | 443 |
| 証明書-キーペア | Certkey-1 | - | - |
エンドツーエンド暗号化による SSL 仮想サーバーの IP アドレスベースの透過的アクセス
クリアテキストポートが指定されていない場合は、SSL 仮想サーバーを使用してエンドツーエンド暗号化による透過的なアクセスを実現できます。このような構成では、アプライアンスはすべてのSSL処理を終了し、オフロードします。次に、安全な SSL セッションを開始し、クリアテキストデータの代わりに暗号化されたデータを Web サーバーに送信します。このデータは、ワイルドカード仮想サーバーに設定されているポートに送信されます。
注: この場合、SSL アクセラレーション機能は 34 個の暗号すべてが使用可能なデフォルト構成を使用してバックエンドで実行されます。
エンドツーエンド暗号化による SSL VIP ベースのトランスペアレントアクセスを設定するには、「ワイルドカード IP アドレス (*: 443) による仮想サーバベースのアクセラレーションの設定」の指示に従ってください。ただし、仮想サーバーにはクリアテキストポートを設定しないでください。