このシナリオでは、SSL クライアントとサーバ認証で HTTPS End-To-End アプリケーション プロファイル タイプを使用します。

クライアント認証

クライアントは HTTPS 経由で Web アプリケーションにアクセスします。Edge 仮想 IP アドレスで HTTPS セッションが終了し、セッションがクライアント証明書を要求します。

  1. ルート認証局 (CA) によって署名された Web サーバ証明書を追加します。詳細については、シナリオ:SSL 証明書のインポートを参照してください。
  2. HTTPS アプリケーション プロファイルを作成します。
    バージョン 手順
    NSX 6.4.5 以降
    1. [アプリケーション プロファイル タイプ (Application Profile Type)] ドロップダウン メニューで、[HTTPS End-to-End] を選択します。
    2. [クライアント SSL (Client SSL)] > [認証局 (CA) 証明書 (CA Certificates)] の順にクリックします。
    3. 手順 1 で追加した Web サーバ証明書を選択します。
    4. [クライアント認証 (Client Authentication)] ドロップダウン メニューで、[必要 (Required)] を選択します。
    NSX 6.4.4 以前
    1. [タイプ (Type)] ドロップダウン メニューで、[HTTPS] を選択します。
    2. [仮想サーバ証明書 (Virtual Server Certificates)] > [認証局 (CA) 証明書 (CA Certificates)] の順にクリックします。認証局 (CA) がクライアント証明書を確認します。
    3. 手順 1 で追加した Web サーバ証明書を選択します。
    4. [クライアント認証 (Client Authentication)] ドロップダウン メニューで、[必要 (Required)] を選択します。
  3. 仮想サーバを作成します。仮想サーバのパラメータを指定する方法については、シナリオ:SSL 証明書のインポートを参照してください。
    注: NSX 6.4.4 以前で、アプリケーション プロファイルで [プール側の SSL の有効化 (Enable Pool Side SSL)] オプションが無効になっていると、選択したプールは HTTP サーバで設定されています。アプリケーション プロファイルで [プール側の SSL の有効化 (Enable Pool Side SSL)] オプションが有効になっている場合、選択したプールは HTTPS サーバで設定されています。
  4. ルート認証局 (CA) により署名されたクライアント証明書をブラウザに追加します。
    1. Web サイト https://www.sslshopper.com/ssl-converter.html に移動します。
    2. 証明書とプライベート キーを pfx ファイルに変換します。証明書とプライベート キーの例については、例:証明書とプライベート キーを参照してください。
    3. pfx ファイルをブラウザにインポートします。

サーバ認証

クライアントは HTTPS 経由で Web アプリケーションにアクセスします。HTTPS セッションが Edge 仮想 IP アドレスで終了します。この Edge はサーバへの HTTPS 接続を新たに確立し、サーバ証明書を要求して検証します。

NSX Edge は、特定の暗号を受け入れます。

  1. サーバー証明書認証のルート CA 証明書とチェーンされている Web サーバ証明書を追加します。詳細については、シナリオ:SSL 証明書のインポートを参照してください。
  2. HTTPS アプリケーション プロファイルを作成します。
    バージョン 手順
    NSX 6.4.5 以降
    1. [アプリケーション プロファイル タイプ (Application Profile Type)] ドロップダウン メニューで、[HTTPS End-to-End] を選択します。
    2. [サーバ SSL (Server SSL)] > [認証局 (CA) 証明書 (CA Certificates)] の順にクリックします。
    3. [暗号 (Cypher)] の横にある [編集 (Edit)]HTML5 の 編集アイコン)アイコンをクリックして、暗号を選択します。
    4. [サーバ認証 (Server Authentication)] オプションを有効にします。
    5. 手順 1 で追加した認証局 (CA) 証明書を選択します。
    NSX 6.4.4 以前
    1. [タイプ (Type)] ドロップダウン メニューで、[HTTPS] を選択します。
    2. [プール側の SSL の有効化 (Enable Pool Side SSL)] チェック ボックスを選択します。
    3. [プール証明書 (Pool Certificates)] > [認証局 (CA) 証明書 (CA Certificates)] の順にクリックします。認証局 (CA) が、バックエンドの HTTPS サーバのクライアント証明書を確認します
    4. [サーバ認証 (Server Authentication)] チェック ボックスを選択します。
    5. 手順 1 で追加した認証局 (CA) 証明書を選択します。
    6. [暗号 (Cipher)] リストから、必要な暗号を選択します。
      注:

      選択した暗号が承認済みの暗号スイート リストに含まれていない場合、デフォルト にリセットされます。

      以前の NSX バージョンからアップグレードした後に、暗号が null または空になったり、古いバージョンの承認済み暗号リストに含まれていない場合は、デフォルト にリセットされます。

    7. [クライアント認証 (Client Authentication)] ドロップダウン メニューで、[必要 (Required)] を選択します。
  3. 仮想サーバを作成します。仮想サーバのパラメータを指定する方法については、シナリオ:SSL 証明書のインポートを参照してください。
    注: NSX 6.4.4 以前では、アプリケーション プロファイルで [プール側の SSL の有効化 (Enable Pool Side SSL)] オプションが無効になっている場合、選択したプールは HTTP サーバで設定されています。アプリケーション プロファイルで [プール側の SSL の有効化 (Enable Pool Side SSL)] オプションが有効になっている場合、選択したプールは HTTPS サーバで設定されています。