1.10. SSLO Guided ConfigurationによるSSLOの設定¶
SSL Orchestrator >> Configuration を選択します。DNS と NTP と Route が Configure となっているのを確認し、Next ボタンを押します。
任意の名前 を設定し、SSL Orchestrator Topologiesとして、L3 Explicit Proxy を選択し、Save&Next ボタンを押します。
任意の名前 を設定し、右上の Show Advanced Setting をクリックし、Client-side SSL にて、利用したい TLSのバージョン を選択します。
CA Certificate KeyChain にて、既にインポート済みのCAファイルを選択して Done を押します。
Server-side SSL も同様に利用したい TLSバージョン を選択します。
期限切れの証明書や自己署名証明書に対しての動作も確認し、Save&Next を押します。
Add Service を押します。
Generic ICAP Service を選択し、Add ボタンを押します。
任意の名前 を設定し、ICAP Devices に i-FILTERのIPアドレス と ポート番号 を設定し、Done を押します。
Request Modification URI Path に /REQMOD を入力し、Preview Max Length に 0 を入力し、ICAP Policy に既に作成済みの Local Traffic Policy を選択し、Save を押します。(i-FILTER ICAP版は ICAP Preview に対応していないので、0 を入力します。)
Add Service を選択します。
Generic ICAP Service を選択し、Add ボタンを押します。
任意の名前 を設定し、ICAP Devices に 任意のIPアドレス と 任意のポート番号 を設定し、Done を押します。(こちらのサービスは実際には利用しませんので、設定する情報は何でも構いません。)
ICAP Policy に既に作成済みのヘッダをもとに戻すための Local Traffic Policy を選択し、Save を押します。
Save&Next ボタンを押します。
Service Chain List で Add を押します。
任意の名前 を設定し、先程作成したサービスを右に移動させ、Save ボタンを押します。(i-FILTERのサービスが上にくるようにします。)
Service Chain ができたことを確認し、Save&Next ボタンを押します。
All Trafficの ペンマーク をクリックします。
先程作成した Service Chain を選択し、OK ボタンを押します。
Save&Next ボタンを押します。
Proxy Server Settings にクライアントからプロキシとしてアクセスさせるIPアドレスを入力し、既に作成済みの Access Profile を選択し、Ingress Network として、クライアントからアクセス可能な VLAN を選択し、Save&Next ボタンを押します。
本テスト構成では、Manage SNAT Settings で Auto Map、Gateways で Default Route を選択し、Save&Next ボタンを押します。(設定は検証環境に合わせてください。)
Save&Next ボタンを押します。
必要に応じて、設定内容を見直し、 Deploy ボタンを押します。
OK ボタンを押し、Deployに成功すると以下のような緑色の DEPLOYED マークが表示されます。
右上の System Settings アイコンを選択します。
SSLOがExplicit Proxyとして利用する DNS を設定し、Deploy を押します。
i-FILTERと連携するサービスに関しては認証ヘッダを挿入するために、また、ヘッダをリストアするサービスに関してはモニタを停止するため、Protectedの 鍵 マークを外します。
ヘッダをリストアするサービスに紐づくPoolのモニターの情報をはずします。(設定を外す前は存在しないサーバに対して、モニターを投げているので、AvailabilityがOfflineとなっているはずです。)
既に作成済みの iRule を追加します。Local Traffic >> Virtual Servers>> において、ssloS_XXXX(任意)-t-4 という名称のVirtual Serverを選択し、Resources タブを選択、HTTPリクエストヘッダに認証情報を挿入するための iRule を選択し、Finished を押します。
ICAPリクエストヘッダに加えるための iRule を追加します。Local Traffic >> Virtual Servers において、ssloS_XXXX(任意)-req という名称のVirtual Serverを選択し、Resources タブを選択、ICAPリクエストヘッダに認証情報を挿入するための iRule を選択し、Finished を押します。
注釈
- セキュリティデバイスがICAPサービス、HTTPサービスの場合、SSL復号していないトラフィックをサービスチェーンに流せません。