【BIG-IP】 証明書更新
BIG-IP LTM で証明書の更新を実施した。 ※バージョンは11.4.1 Build 635.0で実施。
[前提]
当BIG-IP LTM でCSRの作成を実施して、そのCSRを基にGeoTrustで発行してもらった証明書で更新を実施した。
証明書のインポート
①Mainメニュー>System>File Management>SSL Certificate Listを選択する。
②事前に作成したCSRの"Name"をクリックする。 ※Contentsは"Key"となっている。
③「Import...」ボタンをクリックする。
④「Upload File」を選択し「参照」ボタンで該当の証明書を選択し、「Import」ボタンをクリックする。
⑤証明書が正常にインポートされたことを確認する。
Contents欄が"RSA Certificate & Key"と表示され、Expiration欄が正しい有効期限が表示されていること。
中間CA証明書のインポート
①Mainメニュー>System>File Management>SSL Certificate Listを選択し、「Create...」ボタンをクリックする。。
②Import Typeは"Certificate"を選択。Certificate Nameは"Create New"を選択し任意の名前を入力(12文字以内)。Certificate Sourceは中間CA証明書とクロスルート証明書を合わせたファイルを選択する。最後に「Import」をクリックする。
[参考]中間CA証明書とクロスルート証明書の合成方法
それぞれのファイルをテキストベースで下記のように組み合わせて一つのテキストファイルにする。
ファイル形式は「.txt」「.pem」どちらでも可。(他の拡張子でもテキスト表示できれば問題ないと思われる。)
-----BEGIN CERTIFICATE----- MIID+~~~~~ (中間CA証明書の内容) ~~~~~abcdefg -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIDf~~~~~ (クロスルート証明書の内容) ~~~~~abcdefg -----END CERTIFICATE-----
証明書の切替
①SSLプロファイル内の証明書を切替える。
Local Traffic>Profiles>SSL Clientを選択し、対象のProfile Nameを選択する。
②"Certificate"と"Key"は新しい証明書を選択する。"Chain"は新しい中間CA証明書・クロスルート証明書を選択して、下部「Update」をクリックする。
サービス利用中に切り替えても影響はほぼない。切替後の次の新規セッションから証明書が切り替わっていることとなる。
[備考]
今回は証明書発行機関がGeoTrustであったが、GlobalSign等は事前にCSRを作成せずに証明書を発行でき、*1PKCS 12(IIS)形式で簡単にインポートできる。
*1:Version 11以降