仮想化エンジニア奮闘記

Citrix や VMware をはじめ、仮想化に関する最新技術や設計情報の検証結果を共有します。自分が面白いと思ったものを記事にするので一貫性はあまりありません。なお本ブログは個人のものであり、所属する会社とは関係ありません。内容については自己責任の上、ご参照をお願い致します。

NetScaler で ICA Proxyを構築してみた(4)

皆さまお疲れ様です。

6月半ばにNutanixの記事を投稿してから間が空いてしまい申し訳ありません。

今後は定期的に投稿できるよう頑張っていきます。

 

前:NetScaler で ICA Proxyを構築してみた(3)

次:NetScaler で ICA Proxyを構築してみた(5)

※本記事はNetScaler 12.56で検証を行っています

 

+++++NetScaler 構築ステップ+++++
① NetScaler OVFテンプレートのデプロイと初期セットアップ
② HAペアの作成
③ StoreFront / ICA Proxyサーバ証明書の作成 ← 今ココ
④ StoreFront Load Balancing Virtual Server 作成
⑤ ICA Proxy Virtual Server 作成
⑥ StoreFrontの設定
+++++++++++++++++++++++++++ 

 

今回はStoreFrontサーバ証明書、ICA Proxyサーバ証明書をNetScaler上で作ってみたいと思います。NetScalerは自身が証明機関となることが可能なので、その機能を使います。

(StoreFrontサーバ証明書は自己証明書で作ることも多いですが、ICA Proxyサーバ証明書は公的証明機関の証明書を使うことが多いです。)

 

 

◆証明機関用ルート証明書の作成

まずはNetScaler自身が証明機関となるため、ルート証明書を作成します。

1) NetScaler既定の状態ではSSLが無効化されています。左ペインから「Traffic Management → SSL」へ遷移し、SSLを右クリックして「Enable Feature」を実行します。

f:id:kenta53682:20180715105257p:plain

 

2) SSL画面の中央メニューから「Root-CA Certificate Wizard」を実行します。

f:id:kenta53682:20180715105453p:plain

 

3) ルート証明書のキー作成画面になります。「Key filename」と「Key Size」を設定し、「Create」を実行します。(※PEM Encoding Algorithmを選択すればキーに対してパスワードを設定できます。)

f:id:kenta53682:20180715105716p:plain

 

4) 続いてルート証明書の証明書要求ファイルの作成を行います。「Request File Name」、「Digest Method」(既定ではSHA1だが、セキュリティを考慮し必ずSHA256にする)を設定し、「Distinguished Name Fields」で証明書のサブジェクトを設定後、「Create」を実行します。

f:id:kenta53682:20180715110037p:plain

 

5) 最後にルート証明書作成を行います。「Certificate File Name」と「Validity Period(有効期間)」を設定し、「Create」を実行します。

f:id:kenta53682:20180715110403p:plain

 

6) ルート証明書を作成したら、証明書をNetScaler上に登録します。「Certificate-Key Pair Name(NetScaler上の証明書名表示)」を設定し、「Create」を実行します。

f:id:kenta53682:20180715110634p:plain

 

7) すべて設定が完了したら、「Done」を実行します。

f:id:kenta53682:20180715110819p:plain

 

 

サーバ証明書の作成

それではこれからサーバ証明書の作成を行います。

StoreFrontを一例にして証明書を作ってみます。

1) SSLの画面中央メニューから「Server Certificate Wizard」を実行します。

f:id:kenta53682:20180715111050p:plain

 

2) サーバ証明書のキー作成画面になります。「Key filename」と「Key Size」を設定し、「Create」を実行します。

f:id:kenta53682:20180715111500p:plain

 

3) 続いてサーバ証明書の証明書要求ファイルの作成を行います。「Request File Name」、「Digest Method」(既定ではSHA1だが、セキュリティを考慮し必ずSHA256にする)を設定し、「Distinguished Name Fields」で証明書のサブジェクトを設定後、「Create」を実行します。

サーバ証明書で「Common Name」は必ずサーバのFQDNと合わせて下さい。例えば、下記画像では「storefront.labo1.local」ですが、これはStoreFrontを負荷分散するVirtual ServerのFQDNとなります。

f:id:kenta53682:20180715111759p:plain

 

4) 最後にサーバ証明書作成を行います。「Certificate File Name」、「Validity Period(有効期間)」、「CA Certificate File Name(サーバ証明書を発行するCA局のルート証明書)」、「CA Key File Name(サーバ証明書を発行するCA局のルート証明書キー)」、「CA Serial File Number(ns-roo.srl を選択)」を設定し、「Create」を実行します。

f:id:kenta53682:20180715112208p:plain

 

5) サーバ証明書を作成したら、証明書をNetScaler上に登録します。「Certificate-Key Pair Name(NetScaler上の証明書名表示)」を設定し、「Create」を実行します。

f:id:kenta53682:20180715112610p:plain

 

6) すべて設定が完了したら、「Done」を実行します。

f:id:kenta53682:20180715112723p:plain

 

※ICA Proxyサーバサーバ証明書も同様の手順で作成することが可能です。

 

 

◆作成した証明書の管理

今までの手順で作成した証明書をダウンロードしたり、削除したりする場合は次の手順で対応します。

1) SSLの画面中央メニューから「Manage Certificates / Keys / CSRs」を実行します。

f:id:kenta53682:20180715112953p:plain

 

2) 下記の画面が表示され、NetScalerへNetScaler以外で発行した証明書をアップロードしたり、NetScalerで発行した証明書をダウンロードしたりすることが可能です。

f:id:kenta53682:20180715113145p:plain

 

※証明書は作成 / アップロードしたものはPrimary機→Secondary機へコピーされますが、削除についてはSecondary機へ反映されません。削除の時はPrimary機、Secondary機両方で行わないと、Secondary機にごみが残ります。そして、HAが発生した時にそのごみがPrimary機側にコピーされてしまうので注意して下さい。

 

 

本日は以上となります。ありがとうございました。