【BIG-IP】Server SSL profile 設定用情報まとめ

ネットワーク

作業環境

  • BIG-IP Virtual Edition
    • version 15.x.x

Server SSL profile とは

バーチャルサーバ で Server SSL profile を使用することにより、BIG-IP を SSL クライアントとしてリアルサーバ側との通信を SSL で暗号化することができます。

通常、一部項目のみを設定する必要があり、F5 テクニカルサポートからのアドバイスがない限り残りの設定はデフォルト値のままにしておくことが推奨(公式ドキュメントによる)。

Server SSL profile を作成する手順概要

  • Main タブで Local Traffic > Profiles > SSL > Server をクリックします
    • Server SSL profile list 画面が開きます
  • Create をクリックします
  • Name 欄にプロファイル名を入力します
  • Parent Profile リストから serverssl を選択します
  • Configuration リストから Advanced を選択します
  • Custom チェックボックスをチェックします
  • [オプション] Certificate リストから BIG-IP にインストールされている SSL 証明書を選択します
  • [オプション] Key リストから BIG-IP にインストールされている SSL 鍵を選択します
  • [オプション] Pass Phrase 欄に証明書/鍵のパスフレーズを入力します
  • [オプション] Chain リストから BIG-IP にインストールされている SSL チェーンを選択します
  • [オプション] Ciphers 設定で Cipher Group または Cipher String を選択し、暗号グループまたは暗号文字列を指定します
  • 必要に応じて他の項目を設定します
  • Finished をクリックします

※デフォルトでは TLSv1.3 は無効になっています
※作成したプロファイルを使用するためにはそのプロファイルをバーチャルサーバに割り当てる必要があります

General Properties settings

名前、パーティション、親プロファイルなどの基本設定。

  • Name
    • プロファイル名
  • Parent Profile
    • 親プロファイルとして使用する既存のプロファイルを指定
    • デフォルト:serverssl

Configuration settings

Server SSL profile の一般的な SSL 設定。

  • Mode
  • Certificate
    • BIG-IP がバーチャルサーバを通過するクライアントに代わってクライアント証明書を提示する場合のみ証明書を選択
    • 証明書を使用する場合は、証明書に対応する鍵を BIG-IP にインポートする
    • デフォルト:None
  • Key
    • 証明書を設定する場合のみ、証明書に対応する鍵を設定する
    • デフォルト:None
  • Passphrase
    • 鍵のパスフレーズ
    • 鍵を設定していて、かつ鍵にパスフレーズが設定されている場合のみ設定する
  • SSL Forward Proxy Feature
  • SSL Forward Proxy Bypass
  • Chain
    • この設定は、信頼できない認証局(CA)によって署名された証明書を提示するクライアントとの信頼関係を確立するためにサーバが使用できる証明書バンドルまたはチェーンを指定するために使用する
    • デフォルト:None(BIG-IP がクライアント SSL 証明書とともにチェーン証明書を提示しない)
  • Bypass on Handshake Alert
  • Bypass on Client Cert Failure
  • Verified Handshake
  • Ciphers
    • クライアント(BIG-IP)によって提示される暗号
    • デフォルト:DEFAULT cipher string
    • ほとんどの場合、デフォルト設定が適切
    • SSL サーバは、SSL クライアント(BIG-IP)によって提示された暗号から、特定の接続で使用される暗号を選択する
  • Options
    • All Options Disabled / Options List
  • Options List
    • リストから有効化するオプションを選択する形式
      • Don’t insert empty fragments (デフォルト enable)
      • No TLSv1.3 (デフォルト enable)
      • Passive close
      • No SSL
      • No DTLS
      • No TLSv1.1
      • No TLSv1.2
      • No TLS
      • Single DH use
      • No SSLv3
      • No TLSv1
  • Data 0-RTT
  • Proxy SSL
  • Proxy SSL Passthrough
  • ModSSL Methods
  • Cache Size
  • Cache Timeout
  • Alert Timeout
  • Handshake Timeout
  • Renegotiation
  • Renegotiation Period
  • Renegotiation Size
  • Secure Renegotiation
  • Server Name
  • Default SSL Profile for SNI
  • Require Peer SNI support
  • Unclean Shutdown
  • Strict Resume
  • Session Ticket
  • Session Mirroring
  • Generic Alert
  • SSL Sign Hash
  • Max Active Handshakes

Server Authentication settings

SSL セッションを続行する前にサーバ認証を処理するための設定。

  • Server Certificate
    • システムがサーバ証明書を処理する方法を指定
    • Ignore(デフォルト):BIG-IP はサーバからの証明書を無視し、サーバを認証しない
    • Require:サーバ認証を強制する。SSLセッションを確立する前に、サーバが有効な証明書を提示する必要がある
  • Expire Certificate Response Control
    • サーバ証明書の有効期限が切れたときに SSL 接続を処理する方法を指定
    • ignore:期限切れのサーバ証明書を無視し、接続の確立を続行
    • drop(デフォルト):SSL 接続がドロップ
  • Untrusted Certificate Response Control
    • サーバ証明書に信頼できない CA がある場合に SSL 接続を処理する方法を指定
    • ignore:信頼されていない CA を無視し、接続の確立を続行
    • drop(デフォルト):SSL 接続がドロップ
  • Revoked Certificate Status Response Control
  • Unknown Certificate Status Response Control
  • Frequency
    • SSL セッションのサーバ認証の頻度を指定
    • Always:SSL セッション、およびその後の SSL セッションの再利用ごとにサーバを認証
    • Once(デフォルト):SSL セッションに対してサーバを 1 回だけ認証
  • Retain Certificate
    • SSL セッションにサーバ証明書を保存するかどうかを指定
    • この設定を無効にすると、サーバ証明書は SSL セッションに保存されない
    • デフォルト:有効(保存する)
  • Certificate Chain Traversal Depth
    • サーバ証明書チェーンでトラバースする証明書の最大数を指定
    • デフォルト:9
  • Authenticate Name
    • サーバ証明書に組み込まれている Common Name(CN)を指定
    • 指定された CN に基づいてサーバを認証する
    • デフォルト:設定無し
  • Trusted Certificate Authorities
    • サーバ証明書を検証するときに BIG-IP システムが信頼する CA を指定
    • [Server Certificate] で [Require] を設定した場合は設定必須
    • デフォルト:None(任意の CA によって署名されたサーバ証明書を受け入れる)
  • OCSP
    • OCSP レスポンダーに接続してクライアント証明書のステータスを確認するために使用する SSL クライアント証明書制約付き委任 OCSP オブジェクトを指定
  • CRL
    • SSL が使用する SSL クライアント証明書制約付き委任 CRL オブジェクトを指定
  • Certificate Revocation List (CRL) or CRL File
    • サーバを認証する前に、証明書の失効ステータスを確認するために使用する CRL を指定
  • Allow Expired CRL
    • 指定された CRL ファイルが期限切れになった場合でも、それを使用する
    • デフォルト:無効

Client Certificate Constrained Delegation settings

制約付き委任 (constrained delegation) を使用すると、特定の認証アクションに対してユーザが資格情報を 2 回提供する必要がなくなる。

  • Client Certificate Constrained Delegation
  • CA Certificate
  • CA Key
  • CA Passphrase
  • Confirm CA Passphrase
  • Certificate Lifespan
  • Certificate Extensions
  • Certificate Extensions List

参考資料

AskF5 | Manual Chapter: Create a custom Server SSL profile
https://support.f5.com/csp/article/K14806


タイトルとURLをコピーしました