SSL Orchestrator >> Configuration を選択します。*DNS* と NTP と Route が Configure となっているのを確認し、
Next
ボタンを押します。任意の名前 を設定し、SSL Orchestrator Topologiesとして、*L3 Explicit Proxy* を選択し、
Save&Next
ボタンを押します。Create New を選択し、右上の
Show Advanced Setting
をクリックします。Client-side SSL にて、利用したい TLSのバージョン を選択します。
CA Certificate KeyChain にて、既にインポート済みのCAファイル(F5ハンズオンでは、証明書と秘密鍵に f5jCA を選択し、Passphraseに f5demo と入力します。)を選択して
Done
を押します。Server-side SSL も同様に利用したい TLSバージョン を選択します。
期限切れの証明書や自己署名証明書に対しての動作も確認し、
Save&Next
を押します。OCSPを使用する場合、Authentication List設定を追加することができます。本環境では使用しないため、。
Save & Next
を押します。サービス(ここではL2デバイス)を追加します。
Add Service
を押します。Generic Inline Layer2 を選択し、
Add
ボタンを押します。右上の
Show Advanced Setting
をクリックし、*任意の名前* を設定します。Network Configuration にて、
Add
ボタンを押します。 From BIGIP VLAN にて Create New を選択し、任意の名前を設定し、*Interface* を選択します。同様に、*To BIGIP VLAN* も設定します。(F5ハンズオンでは、名称は任意で構いませんが、Interfaceはそれぞれ、*1.3* と 1.4 を選択します。)Done
ボタンを押します。L2デバイスがSSL復号したトラフィックをHTTPトラフィックと同じようにセキュリティ検査するように、ポートリマップを行います。L2デバイスによっては443ポートで接続すると、SSLトラフィックだと判断し、セキュリティ検査を正しく行わない場合があるためです。 Enable Port Remap にチェックをいれ、*Remap Port* に必要なポート番号を設定し、
Save
ボタンを押します。(L2デバイスによって、仕様は異なります。F5ハンズオンでは、*8080* と設定しておきます。)以下のようにサービスが追加されているのを確認したら、
Save&Next
を選択します。サービスチェーンを作成します。サービスチェーンを複数作成することで、可視化デバイスが複数ある場合に、条件に応じた可視化デバイスへの転送が可能となります。(このF5ハンズオンでは可視化デバイスは1台ですが、サービスチェーンの作成は必要です。) Service Chain List で
Add
を押します。任意の名前 を設定し、先程作成したサービスを右に移動させ、
Save
ボタンを押します。Service Chain ができたことを確認し、
Save&Next
ボタンを押します。セキュリティポリシーを設定します。All Trafficの
ペンマーク
をクリックします。先程作成した Service Chain を選択し、
OK
ボタンを押します。サービスチェーンが追加されたことを確認し、
Save&Next
ボタンを押します。Proxy Server Settings にクライアントからプロキシとしてアクセスさせるIPアドレス(F5ハンズオンでは、10.1.10.150)を入力し、*DNS Resolver* をプルダウンメニューから選択します(F5ハンズオンでは、ssloGS_global.app/ssloGS-net-resolver)。 Ingress Network として、クライアントからアクセス可能な VLAN (F5ハンズオンでは、ClientVLAN)を選択し、
Save&Next
ボタンを押します。Manage SNAT Settings で Auto Map、*Gateways* で Default Route を選択し、
Save&Next
ボタンを押します。(F5ハンズオンではこのように設定しますが、環境に合わせてください。)Save&Next
ボタンを押します。必要に応じて、設定内容を見直し、
Save&Next
ボタンを押します。Successポップアップが表示されるまで待ち。
OK
ボタンを押します。Deployに成功すると以下のような緑色の DEPLOYED マークが表示されます。右上の System Settings アイコンを選択します。
SSLOがExplicit Proxyとして利用する DNS を設定し(F5ハンズオンでは、10.1.1.2)、
Save & Next
を押します。Deploy
を押します。Successポップアップが表示されるまで待ち、
OK
ボタンを押します。