サーバロードバランサー機能のSSLアクセラレーターを利用する場合に必要な証明書の登録について説明します。
テナント利用者が、構築する業務システムに合わせて証明書を準備し、本証明書をインフラ管理者がNSアプライアンスに登録します。
図C.1 サーバ証明書およびCA証明書の登録の流れ
NSアプライアンスへPKCS#12形式の証明書を登録する方法について説明します。
CA証明書の登録
登録するCA証明書が既にNSアプライアンスに登録済みか確認します。
NSアプライアンスにログインし、以下のコマンドを投入します。
show cert ca-certificate all
CA証明書が登録されていない場合は、2.以降の手順でCA証明書を登録します。
登録済みの場合は、登録作業は不要です。
NSアプラインスにCA証明書を格納します。
FTPサーバのファイルをNSアプライアンスに転送することで、NSアプライアンスに証明書を格納します。
事前にFTPサーバ上に、証明書を格納してください。
以下のコマンドを投入します。
copy src_uri [ username name [ password password ] ] [ dst_filename ]
NSアプライアンスにコピーする、コピー元となるFTPサーバ上の証明書を以下の形式で指定します。
ftp://FTPサーバのIPv4アドレス/ディレクトリ/ファイル名
FTPサーバのログインIDを1~64文字で指定します。
FTPサーバのログインIDに対するパスワードを1~64文字で指定します。
"ca-cert.incom.pem”のファイル名を指定します。
NSアプライアンスにCA証明書を登録します。
以下のコマンドを投入します。
cert entry peer-ca-certificate ca-certificate-group-entry-numCA証明書番号を設定します。この番号は、ピアと自装置の証明書に対しての番号となります。
指定できる値は1~2048の範囲です。
0は特別な意味を持ち、本製品で作成した証明書に割り振られている番号であるため、他CA局の証明書は登録できません。また、標準でインストールされているSymantec Website Security社(旧VeriSign社)のCA証明書が、1~18に登録されていますので、それ以外に登録してください。
サーバ証明書の登録
NSアプラインスにサーバ証明書を格納します。
FTPサーバのファイルをNSアプライアンスに転送することで、NSアプライアンスに証明書を格納します。
事前にFTPサーバ上に、証明書を格納してください。
以下のコマンドを投入します。
copy src_uri [ username name [ password password ] ] [ dst_filename ]
NSアプライアンスにコピーする、コピー元となるFTPサーバ上の証明書を以下の形式で指定します。
ftp://FTPサーバのIPv4アドレス/ディレクトリ/ファイル名
FTPサーバのログインIDを1~64文字で指定します。
FTPサーバのログインIDに対するパスワードを1~64文字で指定します。
"certXXX.imp.pkcs12"のファイル名を指定します。
エントリー番号
NSアプライアンスにサーバ証明書を登録します。
以下のコマンドを投入します。
cert pkcs12-import certificate-entry-num password password
エンドエンティティ用証明書と秘密鍵の登録番号を設定します。
指定できる値は1~256の範囲です。
PKCS#12ファイルを扱うためのパスワードを英数字および記号"!"#$%&()=~|-^\@[;:]/.,{`}*+_?><"で、20文字以内で指定します。