ここでは、SSL プロキシリストで 1 つ以上の仮想 SSL サーバを作成する方法に ついて説明します。ssl-server コマンドを使用して SSL プロキシ リスト内にイン デックス エントリを作成し、このエントリにこの仮想 SSL サーバに関連する 個々の SSL パラメータを設定します。CSS の SSL モジュールは、仮想 SSL サー バを使用して、クライアントとサーバ間の SSL 通信を適切に処理し、終端させ ます。SSL プロキシ リスト パラメータを設定する前に、SSL サーバのインデッ クス番号を定義する必要があります。1 つの SSL プロキシ リストには、最大で 256 の仮想 SSL サーバを定義できます。
たとえば、Brand New Products という e コマースベンダーが、CSS による SSL 終 了の導入を検討しているとします。この場合、同社 Web サイト
(https://www.brandnewproducts.com)宛ての全トラフィックが、実際には CSS 内
の SSL モジュールに搬入されるように設定します。そのためには、SSL プロキ
シリスト内で仮想 SSL サーバの VIP アドレスを指定し、このリストをコンテン ツ ルールと同じ VIP アドレスにリンクする必要があります。この VIP アドレス を使用するには、次の各 SSL 設定パラメータが必要です。
• コンテンツ ルールに対応する仮想 TCP ポート番号の識別情報
• 識別用の既存の RSA または DSA 証明書
• 暗号化および署名を実行するための適切な SSL キー ペア(RSA キー ペアを 使用している場合)
• CSS SSL セキュリティに Diffie-Hellman キー交換アルゴリズムが必要な場合
は Diffie-Hellman パラメータ
• 暗号スイートの割り当て
(注) アクティブな SSL プロキシ リストには、変更を加えることはできません。変更 を加える前に SSL プロキシリストの使用を一時停止し、変更が終了したらリス トを再度アクティブ化します。CCS は、そのプロキシ リストを使用して SSL サー ビスへ追加情報または変更内容を送信します。詳細については、「SSL プロキシ リストの変更」を参照してください。
次の項で、SSL プロキシ リストでの仮想 SSL サーバの作成方法について説明し ます。
• SSL サーバ インデックスの作成
• 仮想 IP アドレスの指定
• 仮想ポートの指定
• サーバ認証用の証明書、キー、および暗号スイートの割り当て
• クライアント認証の設定
• HTTP ヘッダー挿入の設定
• SSL または TLS バージョンの指定
• TCP FIN メッセージ単独でのクライアント接続の終了
• セキュア URL リライトの指定
• SSL セッション キャッシュ タイムアウトの指定
• SSL セッションのハンドシェイク再ネゴシエーションの指定
• SSL キューデータの遅延時間の設定
• SSL TCP クライアント側の接続タイムアウト値の指定
• SSL TCP サーバ側接続タイムアウト値の指定
• SSL TCP 接続における確認応答遅延の変更
• SSL TCP 接続の Nagle アルゴリズムの指定
• SSL TCP 接続用ウィンドウサイズの設定
• SSL TCP 接続の TCP バッファリングの指定
SSL プロキシ リストの設定情報を表示する方法については、第 7 章「SSL の設 定情報および統計情報の表示」を参照してください。
SSL サーバ インデックスの作成
SSL プロキシ リスト パラメータを設定する前に、仮想 SSL サーバを作成する必 要があります。SSL プロキシリストに SSL 固有のパラメータを指定するには、
ssl-server number コマンドを使用します。このコマンドを実行すると、仮想 SSL
サーバに関連付けられた個々の SSL パラメータ(VIP アドレス、証明書名、キー ペアなど)の設定に使用する番号(インデックス エントリ)が SSL プロキシ リ スト内に作成されます。1〜256 の整数を入力します。
たとえば、仮想 SSL サーバ 20 を指定するには、次のコマンドを入力します。
(config-ssl-proxy-list[ssl_list1])# ssl-server 20
仮想 SSL サーバを SSL プロキシリストから削除するには、次のコマンドを入力
します。
(config-ssl-proxy-list[ssl_list1])# no ssl-server 20
仮想 IP アドレスの指定
この VIP アドレスは SSL モジュールによって、受け入れるべきトラフィックを 識別する手段として使用されます。VIP アドレスは、コンテンツ ルールに設定さ
れている VIP アドレスと同じものを指定してください。仮想 IP(VIP)アドレス
を指定するには、ssl-server number vip address ip_or_host コマンドを使用します。
SSL コンテンツ ルールに一致する仮想 SSL サーバの VIP アドレスを入力しま す。「SSL 終了のコンテンツ ルールの設定」を参照してください。
有効な VIP アドレスを、ドット付き 10 進表記(たとえば、192.168.11.1)または ニーモニック ホスト名(たとえば、myhost.mydomain.com)で入力します。
(注) VIP アドレスをニーモニックホスト名で入力した場合、CSS はドメインネーム サービス(DNS)を使用し、myhost.mydomain.com などのホスト名を、192.168.11.1 などの IP アドレスに変換します。ホスト名が解決できない場合、VIP アドレス 設定は受け入れられず、ホストの解決に失敗したことを示すエラー メッセージ が表示されます。DNS の設定の詳細については、『Cisco Content Services Switch Global Server Load-Balancing Configuration Guide』を参照してください。
仮想 SSL サーバの VIP ポートを設定しないまま SSL プロキシ リストのアクティ ブ化を試みる(「SSL TCP 接続の Nagle アルゴリズムの指定」参照)と、エラー メッセージがログに出力され、SSL プロキシリストはアクティブ化されません。
設定された SSL サービスでコンテンツ ルールをアクティブ化すると、コンテン ツ ルールで設定された各 VIP アドレスが、追加された各サービスの SSL プロキ シリストで設定された 1 つ以上の VIP アドレスに一致するかが確認されます。一 致しない場合、エラーメッセージがログに記録され、コンテンツルールはアク ティブ化されません。
たとえば、コンテンツルールで設定した VIP アドレスに一致する、仮想 SSL サー バの VIP アドレスを指定するには、次のコマンドを入力します。
(config-ssl-proxy-list[ssl_list1])# ssl-server 20 vip address 192.168.3.6
仮想 SSL サーバから VIP アドレスを削除するには、次のコマンドを入力します。
(config-ssl-proxy-list[ssl_list1])# no ssl-server 20 vip address
仮想ポートの指定
SSL モジュールは仮想ポートを使用して、受け入れるトラフィックを特定しま す。 仮想 SSL サーバの仮想 TCP ポート番号を指定するには、ssl-server number
port number コマンドを使用します。SSL コンテンツルールに一致する TCP ポー
ト番号(SSL コンテンツルールで使用される TCP ポート番号)を入力します。
ポート番号は 1〜65535 の範囲内で指定します。デフォルトのポート番号は 443 です。コンテンツ ルールに設定したポートと一致するポート番号を指定してく ださい(「SSL 終了のコンテンツルールの設定」参照)。
仮想 SSL サーバの仮想ポートを設定しないまま SSL プロキシリストのアクティ
ブ化を試みる(「SSL TCP 接続の Nagle アルゴリズムの指定」参照)と、エラー メッセージがログに出力され、SSL プロキシ リストはアクティブ化されません。
設定された SSL サービスでコンテンツ ルールをアクティブ化すると、コンテン ツルールで設定された各仮想ポートが、追加された各サービスの SSL プロキシ リストで設定された 1 つ以上のポートに一致するかどうかを CSS は確認します。
一致しない場合、エラー メッセージがログに記録され、コンテンツ ルールはア クティブ化されません。
たとえば、仮想ポートを 444 に設定するには、次のように入力します。
(config-ssl-proxy-list[ssl_list1])# ssl-server 20 port 444
仮想ポートをデフォルトの 443 にリセットするには、次のように入力します。
(config-ssl-proxy-list[ssl_list1])# no ssl-server 20 port
サーバ認証用の証明書、キー、および暗号スイートの割り当て
CSS は、サーバ認証の目的で各クライアントに送信するサーバ証明書をサポート します。証明書を仮想 SSL サーバと関連付けるには、CSS にインポートしたか、
CSS で生成した証明書およびキー(第 3 章「SSL 証明書とキーの設定」参照)を 割り当てる必要があります。また、証明書およびキーに対応する暗号スイートも 割り当てる必要があります。
ここでは、サーバ認証のための各種設定について説明します。
• RSA 証明書名の指定
• RSA キー ペア名の指定
• DSA 証明書名の指定
• DSA キー ペア名の指定
• Diffie-Hellman パラメータ ファイル名の指定
• 暗号スイートの指定
RSA
証明書名の指定
認証およびパケット暗号化の公開/秘密キー ペアの交換で使用される RSA 証明 書アソシエーションの名前を指定するには、ssl-server number rsacert name コマ ンドを使用します。既存の RSA 証明書アソシエーションのリストを表示するに は、ssl-server number rsacert ? コマンドを使用します。
指定した RSA 証明書は CSS にロード済みで、関連付けが済んでいる必要があり ます(第 3 章「SSL 証明書とキーの設定」参照)。適切な RSA 証明書アソシエー ションが存在しない場合、SSL プロキシリストをアクティブ化しようとすると エラー メッセージがログに記録され、リストはアクティブ化されません。
たとえば、以前に定義した、rsacert という名前の RSA 証明書アソシエーション を指定するには、次のコマンドを入力します。
(config-ssl-proxy-list[ssl_list1])# ssl-server 20 rsacert myrsacert1
特定の仮想 SSL サーバから RSA 証明書アソシエーションを削除するには、次の コマンドを入力します。
(config-ssl-proxy-list[ssl_list1])# no ssl-server 20 rsacert
RSA キー ペア名の指定
RSA キ ー ペ ア ア ソ シ エ ー シ ョ ン の 名 前 を 指 定 す る に は、 ssl-server number
rsakey name コマンドを使用します。RSA キー ペアは、他のデバイス(クライア
ントまたはサーバ)が CSS と SSL 証明書を交換するために必要です。既存の RSA キーペアアソシエーションのリストを表示するには、ssl-server number rsakey ? コマンドを使用します。
RSA キーペアは CSS にロード済みで、関連付けが済んでいる必要があります
(第 3 章「SSL 証明書とキーの設定」参照)。適切な RSA キーペアアソシエー ションが存在しない場合、SSL プロキシ リストをアクティブ化しようとすると エラー メッセージがログに記録され、リストはアクティブ化されません。
たとえば、rsakey という名前の定義済みの RSA キーペアアソシエーションを指 定するには、次のコマンドを入力します。
(config-ssl-proxy-list[ssl_list1])# ssl-server 20 rsakey myrsakey1
特定の仮想 SSL サーバから RSA キーペアアソシエーションを削除するには、次 のコマンドを入力します。
(config-ssl-proxy-list[ssl_list1])# no ssl-server 20 rsakey
DSA 証明書名の指定
デジタル シグニチャの交換に使用する DSA 証明書アソシエーションの名前を指 定するには、ssl-server number dsacert name コマンドを使用します。既存の DSA 証明書アソシエーションのリストを表示するには、ssl-server number dsacert ? コ マンドを使用します。