【BIG-IP】Client SSL profile 設定用情報まとめ

作業環境

• BIG-IP Virtual Edition
  • version 15.x.x

Client SSL profile とは

Client SSL profile を作成してバーチャルサーバに適用することで、クライアントと BIG-IP 間で SSL 通信を行うことができます。BIG-IP は SSL を終端します。

設定項目詳細

General Properties

• Name
  • プロファイルの識別名
• Parent Profile
  • 親プロファイルとして使用するプロファイルを既存のものから選択
  • デフォルト：clientssl

Configuration

• Mode
• Certificate Key Chain
  • Certificate：サーバ証明書
    • デフォルトでは default.crt という自己署名証明書を使用する
    • 一般的にはバーチャルサーバ毎に固有の証明書を作成して使用する
  • Key：サーバ証明書とペアになる秘密
  • Chain：チェーン証明書がある場合は設定する
  • Passphrase：Key にパスフレーズが設定されている場合は設定する

• OCSP Stapling
• Notify Certificate Status to Virtual Server
• Ciphers
  • SSL サーバとして使用する暗号スイート
  • デフォルトでは Cipher Suites : DEFAULT
  • 必要に応じて変更する
• Options
• Options List
• Data 0-RTT
• Proxy SSL
• Proxy SSL Passthrough
• ModSSL Methods
• Cache Size
• Cache Timeout
• Alert Timeout
• Handshake Timeout
  • システムが操作を終了する前に SSL 接続の確立を試行する秒数
  • デフォルト：10秒
• Renegotiation
• Renegotiate Period
• Renegotiate Size
• Renegotiate Max Record Delay
• Secure Renegotiation
• Max Renegotiations
• Max Aggregate Renegotiation
• Server Name
• Default SSL Profile for SNI
• Require Peer SNI support
• Unclean Shutdown
• Strict Resume
• Session Ticket
• Session Ticket Timeout
• Session Mirroring
  • 高可用性ピアへの SSL セッション ID データのミラーリングを[有効/無効]にする
  • デフォルト: 無効
• Generic Alert
• Non-SSL Connections
• Allow Dynamic Record Sizing
• Maximum Record Size
• SSL Sign Hash
• Peer No-renegotiate Timeout
• Max Active Handshakes

Client Authentication

• Client Certificate
  • Ignore
    • クライアント証明書認証を無効にする
  • Request
    • BIG-IPはクライアント証明書を要求し、それを検証しようとする。 ただし、信頼できる CA が有効なクライアント証明書を提示するかどうかに関係なく SSL セッションは確立される
    • 提示された証明書に応じて選択的なアクセスを提供するために、iRules と組み合わせて使用されることがよくある
  • Require
    • BIG-IP はクライアント証明書を要求し、それを検証しようとする。
    • 信頼できる CA が有効なクライアント証明書を提示した場合にのみ SSL セッションを確立
• Frequency
• Retain Certificate
• Certificate Chain Traversal Depth
• Trusted Certificate Authorities
  • BIG-IP がクライアント証明書認証を実施する場合に設定
  • クライアント証明書を検証するときに信頼する CA 証明書を指定
  • クライアント証明書認証が有効、かつこの設定がされていない場合、クライアントはバーチャルサーバとの SSL セッションを確立できない
• Advertised Certificate Authorities
  • クライアント証明書認証のためにクライアント証明書を要求するときに、BIG-IP からクライアントへアドバタイズする信頼できる CA を指定できる
  • デフォルト： none
  • 通常は Trusted Certificate Authorities と同じ CA 証明書を指定する
• CRL
• CRL File
• Allow Expired CRL File

SSL Forward Proxy

• SSL Forward Proxy
• CA Certificate Key Chain
  • Certificate：SSL フォワードプロキシ機能が有効になっている場合に使用するシステムの CA 証明書を指定
  • Key：CA 証明書に対応する秘密鍵を指定
  • Chain：チェーン証明書がある場合は設定する
  • Passphrase：Key にパスフレーズが設定されている場合は設定する

• Certificate Lifespan
• Certificate Extensions
• Certificate Extensions List
• Cache Certificate by Addr-Port
• SSL Forward Proxy Bypass
• Bypass on Handshake Alert
• Bypass on Client Cert Failure
• Verified Handshake

Client Certificate Constrained Delegation

• Client Certificate Constrained Delegation
• Client Fallback Certificate
• OCSP
• Unknown OCSP Response Control

参考資料

Overview of the Client SSL profile (11.x - 17.x)

Topic This article applies to BIG-IP 11.x through 16.x. For information about other versions, refer to the following article: K10167: Overview of the Client SSL...

support.f5.com

https://techdocs.f5.com/en-us/bigip-15-1-0/big-ip-system-ssl-administration/ssl-traffic-management.html#taskId

techdocs.f5.com

BIG-IP 設定用情報まとめ

バーチャルサーバ関連設定【BIG-IP】FQDN ノードを使用したバーチャルサーバを検証するX-Forwarded-For 【BIG-IP】X-Forwarded-For を追加する 2 つの方法SSL profile【BIG-IP】Cli...

nwengblog.com

2021.10.19