1.7. SSLO Guided ConfigurationによるSSLOの設定¶
SSL Orchestrator >> Configuration を選択します。DNS と NTP と Route が Configure となっているのを確認し、Next ボタンを押します。
任意の名前 を設定し、SSL Orchestrator Topologiesとして、L3 Explicit Proxy を選択し、Save&Next ボタンを押します。
Create New を選択し、右上の Show Advanced Setting をクリックします。
Client-side SSL にて、利用したい TLSのバージョン を選択します。
CA Certificate KeyChain にて、既にインポート済みのCAファイル(F5ハンズオンでは、証明書と秘密鍵に f5jCA を選択し、Passphraseに f5demo と入力します。)を選択して Done を押します。
Server-side SSL も同様に利用したい TLSバージョン を選択します。
期限切れの証明書や自己署名証明書に対しての動作も確認し、Save&Next を押します。
サービス(ここではL2デバイス)を追加します。Add Service を押します。
Generic Inline Layer2 を選択し、Add ボタンを押します。
右上の Show Advanced Setting をクリックし、任意の名前 を設定します。
Network Configuration にて、Add ボタンを押します。 From BIGIP VLAN にて Create New を選択し、任意の名前を設定し、Interface を選択します。同様に、To BIGIP VLAN も設定します。(F5ハンズオンでは、名称は任意で構いませんが、Interfaceはそれぞれ、1.3 と 1.4 を選択します。) Done ボタンを押します。
L2デバイスがSSL復号したトラフィックをHTTPトラフィックと同じようにセキュリティ検査するように、ポートリマップを行います。L2デバイスによっては443ポートで接続すると、SSLトラフィックだと判断し、セキュリティ検査を正しく行わない場合があるためです。 Enable Port Remap にチェックをいれ、Remap Port に必要なポート番号を設定し、Save ボタンを押します。(L2デバイスによって、仕様は異なります。F5ハンズオンでは、8080 と設定しておきます。)
以下のようにサービスが追加されているのを確認したら、Save&Next を選択します。
サービスチェーンを作成します。サービスチェーンを複数作成することで、可視化デバイスが複数ある場合に、条件に応じた可視化デバイスへの転送が可能となります。(このF5ハンズオンでは可視化デバイスは1台ですが、サービスチェーンの作成は必要です。) Service Chain List で Add を押します。
任意の名前 を設定し、先程作成したサービスを右に移動させ、Save ボタンを押します。
Service Chain ができたことを確認し、Save&Next ボタンを押します。
All Trafficの ペンマーク をクリックします。
先程作成した Service Chain を選択し、OK ボタンを押します。
サービスチェーンが追加されたことを確認し、Save&Next ボタンを押します。
Proxy Server Settings にクライアントからプロキシとしてアクセスさせるIPアドレス(F5ハンズオンでは、10.1.10.150)を入力し、Ingress Network として、クライアントからアクセス可能な VLAN (F5ハンズオンでは、ClientVLAN)を選択し、Save&Next ボタンを押します。
Manage SNAT Settings で Auto Map、Gateways で Default Route を選択し、Save&Next ボタンを押します。(F5ハンズオンではこのように設定しますが、環境に合わせてください。)
Save&Next ボタンを押します。
必要に応じて、設定内容を見直し、 Save&Next ボタンを押します。
Successポップアップが表示されます。OK ボタンを押します。
Deployに成功すると以下のような緑色の DEPLOYED マークが表示されます。右上の System Settings アイコンを選択します。
SSLOがExplicit Proxyとして利用する DNS を設定し(F5ハンズオンでは、10.1.1.2)、Deploy を押します。
Successポップアップが表示されます。OK ボタンを押します。
