トランスペアレント SSL アクセラレーションの設定
注: 展開環境によっては、Citrix ADCアプライアンスでL2モードを有効にする必要がある場合があります。
トランスペアレント SSL アクセラレーションは、同じパブリック IP を持つセキュアなサーバ上で複数のアプリケーションを実行する場合に便利です。また、追加のパブリック IP を使用せずに SSL アクセラレーションにも役立ちます。
透過的なSSLアクセラレーション設定では、Citrix ADCアプライアンスはクライアントに対して透過的です。アプライアンスがリクエストを受信するIPアドレスは、WebサーバーのIPアドレスと同じであるため、透過的です。
Citrix ADCアプライアンスは、SSLトラフィック処理をWebサーバーからオフロードし、クリアテキストまたは暗号化されたトラフィック(構成に応じて)をWebサーバーに送信します。他のすべてのトラフィックはアプライアンスに対して透過的であり、Web サーバーにブリッジされます。したがって、サーバー上で実行されている他のアプリケーションは影響を受けません。
アプライアンスで使用できるトランスペアレント SSL アクセラレーションには、次の 3 つのモードがあります。
- サービスベースの透過アクセス。サービスの種類は SSL または SSL_TCP です。
- ワイルドカード IP アドレス(*: 443)を使用した仮想サーバベースの透過アクセス。
- エンドツーエンドの暗号化によるSSL VIPベースの透過的アクセス。
注:SSL_TCP サービスは、HTTPS 以外のサービス(SMTPS や IMAPS など)に使用されます。
サービスベースの透過的な SSL アクセラレーション
SSL サービスモードを使用して透過的 SSL アクセラレーションを有効にするには、実際のバックエンド Web サーバの IP アドレスを使用して SSL サービスまたは SSL_TCP サービスを設定します。仮想サーバーが SSL トラフィックを傍受してサービスに渡す代わりに、トラフィックはサービスに直接渡されます。サービスは SSL トラフィックを復号化し、クリアテキストデータをバックエンドサーバに送信します。
サービスベースモードでは、個別のサービスを異なる証明書または異なるクリアテキストポートで設定できます。また、SSL アクセラレーションのサービスを個別に選択することもできます。
サービスベースの透過的 SSL アクセラレーションは、異なるプロトコルを使用するデータに適用できます。これを行うには、SSL サービスのクリアテキストポートを、SSL サービスとバックエンドサーバー間のデータ転送が行われるポートに設定します。
サービスベースの透過的 SSL アクセラレーションを設定するには、最初に SSL 機能とロードバランシング機能の両方を有効にします。次に、SSL ベースのサービスを作成し、そのクリアテキストポートを設定します。サービスの作成後、証明書とキーのペアを作成してこのサービスにバインドします。
例:
SSL オフロードとロードバランシングを有効にします。
ポート 443 を使用して、IP アドレス 10.102.20.30 の SSL ベースのサービスサービスサービス SSL-1 を作成し、そのクリアテキストポートを設定します。
次に、証明書とキーのペアである CertKey-1 を作成し、SSL サービスにバインドします。
表1. サービスベースの透過的 SSL アクセラレーションのエンティティ
| エンティティ | 名前 | 値 |
|---|---|---|
| SSLサービス | Service-SSL-1 | 102.20.30 |
| 証明書-キーペア | Certkey-1 | - |
ワイルドカード IP アドレスを使用した仮想サーバベースのアクセラレーション (*: 443)
Web サイトのセキュアなコンテンツをホストする複数のサーバーに対して SSL アクセラレーションを有効にする場合は、ワイルドカード IP アドレスモードで SSL 仮想サーバーを使用します。このモードでは、仮想サーバーごとに 1 つの証明書ではなく、セキュリティで保護された Web サイト全体に対して単一のデジタル証明書で十分です。これにより、SSL 証明書と更新にかかるコストを大幅に削減できます。ワイルドカード IP アドレスモードでは、証明書の一元管理も可能になります。
Citrix ADCアプライアンスでグローバル透過SSLアクセラレーションを構成するには、*: 443仮想サーバーを作成します。この仮想サーバは、ポート 443 に関連付けられた任意の IP アドレスを受け入れます。次に、有効な証明書をこの仮想サーバーにバインドし、仮想サーバーが転送するすべてのサービスをバインドします。このような仮想サーバーは、HTTP ベースのデータに SSL プロトコルを、非 HTTP ベースのデータには SSL_TCP プロトコルを使用できます。
ワイルドカード IP アドレスを使用した仮想サーバベースのアクセラレーションの設定
- SSL の有効化で説明されているように、 SSL を有効にします。
- ロードバランシングの説明に従って、 ロードバランシングを有効にします。
- SSL ベースの仮想サーバーを追加し、 SSL オフロードの設定の説明に従ってClearTextPort パラメータを設定します。
- 「 証明書とキーのペアの追加または更新」の説明に従って、証明書とキーのペアを追加します。
注: ワイルドカード・サーバーはアプライアンス上で構成されたサーバーを自動的に学習するため、ワイルドカード仮想サーバーのサービスを構成する必要はありません。
例:
SSL オフロードとロードバランシングを有効にします。IP アドレスが*、ポート番号が 443 に設定された SSL ベースのワイルドカード仮想サーバを作成し、そのクリアテキストポートを設定します(オプション)。
クリアテキストポートを指定すると、復号化されたデータは、その特定のポートのバックエンドサーバに送信されます。それ以外の場合は、暗号化されたデータがポート 443 に送信されます。
次に、SSL 証明書キーペア CertKey-1 を作成し、SSL 仮想サーバーにバインドします。
表2. ワイルドカード IP アドレスを使用した仮想サーバベースのアクセラレーションのエンティティの例
| エンティティ | Name | IPアドレス | ポート |
|---|---|---|---|
| SSL ベースの仮想サーバ | Vserver-SSL-Wildcard |
* | 443 |
| 証明書-キーペア | Certkey-1 | - | - |
エンドツーエンド暗号化によるSSL仮想サーバーIPアドレスベースの透過的アクセス
クリアテキストポートが指定されていない場合は、エンドツーエンド暗号化による透過アクセスに SSL 仮想サーバを使用できます。このような構成では、アプライアンスはすべての SSL 処理を終了し、オフロードします。次に、安全なSSLセッションを開始し、クリアテキストデータの代わりに暗号化されたデータをWebサーバーに送信します。このデータは、ワイルドカード仮想サーバーで構成されているポートに送信されます。
注: この場合、SSL アクセラレーション機能は、デフォルト設定を使用してバックエンドで実行され、34 暗号すべてが使用可能です。
エンドツーエンド暗号化を使用してSSL VIPベースの透過的アクセスを構成するには、ワイルドカードIPアドレスを使用した仮想サーバーベースのアクセラレーションの構成の手順に従います (*:443)。ただし、仮想サーバーにクリアテキストポートを構成しないでください。