エンドツーエンド暗号化による SSL オフロードの構成
単純な SSL オフロード設定では、SSL トラフィック(HTTPS)を終了し、SSL レコードを復号化し、クリアテキスト(HTTP)トラフィックをバックエンド Web サーバに転送します。クリアテキストトラフィックは、バックエンドネットワークデバイスまたはWebサーバーへのアクセスに成功した個人によるなりすまし、読み取り、盗難、または侵害に対して脆弱です。
したがって、クリアテキストデータを再暗号化し、セキュア SSL セッションを使用してバックエンド Web サーバーと通信することにより、エンドツーエンドセキュリティで SSL オフロードを構成できます。
アプライアンスがSSLセッション多重化を使用してバックエンドWebサーバーとの既存のSSLセッションを再利用するように、バックエンドSSLトランザクションを構成できます。CPUを集中的に使用するキー交換(完全なハンドシェイク)操作を回避し、サーバー上のSSLセッションの総数を減らすのに役立ちます。その結果、エンドツーエンドのセキュリティを維持しながらSSLトランザクションを高速化します。
エンドツーエンドの暗号化展開を設定するには、次の手順を実行します。
- SSL サービスの作成
- SSL 仮想サーバーを作成する
- 証明書とキーのペアを追加します
- 証明書とキーのペアを SSL 仮想サーバーにバインドする
- サービスを SSL 仮想サーバーにバインドする
サービス、仮想サーバー、証明書とキーのペアの追加については、 SSL オフロードの設定を参照してください。
構成で使用されるサンプル値は、表
エンティティ | Name | IPアドレス | ポート |
---|---|---|---|
SSLサービス | service-ssl-1 | 198.51.100.5 | 443 |
SSLサービス | service-ssl-2 | 198.51.100.10 | 443 |
SSL仮想サーバー | vserver-ssl |
203.0.113.5 | 443 |
SSL 証明書キーペア | certkey-1 | - | - |
例:
add service service-ssl-1 198.51.100.5 SSL 443
add service service-ssl-2 198.51.100.10 SSL 443
add lb vserver vserver-ssl SSL 203.0.113.5 443
add ssl certKey certkey-1 -cert server_rsa_1024.pem -key server_rsa_1024.ky
bind ssl vserver vserver-ssl -certkeyName certkey-1
bind lb vserver vserver-ssl service-ssl-1
bind lb vserver vserver-ssl service-ssl-2
<!--NeedCopy-->
GUIを使用したエンドツーエンド暗号化による SSL オフロードの構成
- Traffic Management > Load Balancing > Services > Addに移動します。
-
service-ssl-1
とservice-ssl-2
の 2 つのサービスを追加します。 - Traffic Management > SSL > Certificates > Installに移動します。
- 証明書とキーのペアを追加します。
certkey-1
。 - Traffic Management > Load Balancing > Virtual Servers > Addに移動します。
- 仮想サーバーを追加します。
vserver-ssl
。 - [OK] をクリックします。
- [負荷分散仮想サーバーサービスのバインド]内をクリックします。
- [サービスの選択]で、矢印をクリックします。
- [ サービス ] ダイアログボックスで、
service-ssl-1
およびservice-ssl-2
を選択します。 - [Select]をクリックします。
- [バインド] をクリックします。
- [続行] をクリックします。
- [証明書] セクションで、[ サーバー証明書]をクリックします。
- [サーバー証明書の選択]で、矢印をクリックします。
- [ サーバー証明書 ] ダイアログボックスで、
certkey-1
をクリックします。 - [Select]をクリックします。
- [バインド] をクリックします。
- [続行] をクリックします。
- [完了] をクリックします。