Skip to content

Latest commit

 

History

History
executable file
·
119 lines (89 loc) · 6.42 KB

module07.rst

File metadata and controls

executable file
·
119 lines (89 loc) · 6.42 KB
Raw

SSLO Guided ConfigurationによるSSLOの設定

  1. SSL Orchestrator >> Configuration を選択します。*DNS* と NTPRouteConfigure となっているのを確認し、Next ボタンを押します。

    image

  2. 任意の名前 を設定し、SSL Orchestrator Topologiesとして、*L3 Explicit Proxy* を選択し、Save&Next ボタンを押します。

    image

  3. Create New を選択し、右上の Show Advanced Setting をクリックします。

    image

  4. Client-side SSL にて、利用したい TLSのバージョン を選択します。

    image

  5. CA Certificate KeyChain にて、既にインポート済みのCAファイル(F5ハンズオンでは、証明書と秘密鍵に f5jCA を選択し、Passphraseに f5demo と入力します。)を選択して Done を押します。

    image

  6. Server-side SSL も同様に利用したい TLSバージョン を選択します。

    image

  7. 期限切れの証明書や自己署名証明書に対しての動作も確認し、Save&Next を押します。

    image

  8. OCSPを使用する場合、Authentication List設定を追加することができます。本環境では使用しないため、。Save & Next を押します。

    image

  9. サービス(ここではL2デバイス)を追加します。Add Service を押します。

    image

  10. Generic Inline Layer2 を選択し、Add ボタンを押します。

    image

  11. 右上の Show Advanced Setting をクリックし、*任意の名前* を設定します。

    image

  12. Network Configuration にて、Add ボタンを押します。 From BIGIP VLAN にて Create New を選択し、任意の名前を設定し、*Interface* を選択します。同様に、*To BIGIP VLAN* も設定します。(F5ハンズオンでは、名称は任意で構いませんが、Interfaceはそれぞれ、*1.3* と 1.4 を選択します。) Done ボタンを押します。

    image

  13. L2デバイスがSSL復号したトラフィックをHTTPトラフィックと同じようにセキュリティ検査するように、ポートリマップを行います。L2デバイスによっては443ポートで接続すると、SSLトラフィックだと判断し、セキュリティ検査を正しく行わない場合があるためです。 Enable Port Remap にチェックをいれ、*Remap Port* に必要なポート番号を設定し、Save ボタンを押します。(L2デバイスによって、仕様は異なります。F5ハンズオンでは、*8080* と設定しておきます。)

    image

  14. 以下のようにサービスが追加されているのを確認したら、Save&Next を選択します。

    image

  15. サービスチェーンを作成します。サービスチェーンを複数作成することで、可視化デバイスが複数ある場合に、条件に応じた可視化デバイスへの転送が可能となります。(このF5ハンズオンでは可視化デバイスは1台ですが、サービスチェーンの作成は必要です。) Service Chain ListAdd を押します。

    image

  16. 任意の名前 を設定し、先程作成したサービスを右に移動させ、Save ボタンを押します。

    image

  17. Service Chain ができたことを確認し、Save&Next ボタンを押します。

    image

  18. セキュリティポリシーを設定します。All Trafficの ペンマーク をクリックします。

    image

  19. 先程作成した Service Chain を選択し、OK ボタンを押します。

    image

  20. サービスチェーンが追加されたことを確認し、Save&Next ボタンを押します。

    image

  21. Proxy Server Settings にクライアントからプロキシとしてアクセスさせるIPアドレス(F5ハンズオンでは、10.1.10.150)を入力し、*DNS Resolver* をプルダウンメニューから選択します(F5ハンズオンでは、ssloGS_global.app/ssloGS-net-resolver)。 Ingress Network として、クライアントからアクセス可能な VLAN (F5ハンズオンでは、ClientVLAN)を選択し、Save&Next ボタンを押します。

    image

  22. Manage SNAT SettingsAuto Map、*Gateways* で Default Route を選択し、Save&Next ボタンを押します。(F5ハンズオンではこのように設定しますが、環境に合わせてください。)

    image

  23. Save&Next ボタンを押します。

    image

  24. 必要に応じて、設定内容を見直し、 Save&Next ボタンを押します。

    image

  25. Successポップアップが表示されるまで待ち。OK ボタンを押します。

    image

  26. Deployに成功すると以下のような緑色の DEPLOYED マークが表示されます。右上の System Settings アイコンを選択します。

    image

  27. SSLOがExplicit Proxyとして利用する DNS を設定し(F5ハンズオンでは、10.1.1.2)、Save & Next を押します。

    image

  28. Deploy を押します。

    image

  29. Successポップアップが表示されるまで待ち、OK ボタンを押します。

    image