レイヤー 7 仮想サーバでは、ロード バランサのパーシステンス、クライアント側 SSL、サーバ側 SSL の各プロファイルも構成できます。

注: SSL プロファイルは NSX-T Data Center Limited Export Release ではサポートされていません。

仮想サーバでクライアント側 SSL プロファイル バインドが構成されており、サーバ側 SSL プロファイル バインドは構成されていない場合、仮想サーバは SSL 終了モードで動作し、クライアントとは暗号化を使用した接続、サーバとの接続はプレーン テキスト接続となります。クライアント側とサーバ側の両方の SSL プロファイル バインドが構成されている場合、仮想サーバは SSL プロキシ モードで動作し、クライアントとサーバの両方に暗号化を使用して接続されます。

現時点では、クライアント側 SSL プロファイル バインドを関連付けずにサーバ側 SSL プロファイル バインドを関連付ることはサポートされません。クライアント側とサーバ側の SSL プロファイル バインドが仮想サーバに関連付けられておらず、アプリケーションが SSL ベースの場合、仮想サーバは SSL 非対応モードで動作します。この場合、仮想サーバはレイヤー 4 で構成する必要があります。たとえば、仮想サーバを Fast TCP プロファイルに関連付けることができます。

前提条件

レイヤー 7 仮想サーバが使用できることを確認します。マネージャ モードでのレイヤー 7 仮想サーバの構成 を参照してください。

手順

  1. レイヤー 7 仮想サーバを開きます。
  2. [ロード バランシング プロファイル] ページに進みます。
  3. [パーシステンス] ボタンを切り替えてプロファイルを有効にします。
    パーシステンス プロファイルでは、関連する複数のクライアント接続を同じサーバに送信できます。
  4. 送信元 IP アドレスのパーシステンス プロファイルまたは Cookie パーシステンス プロファイルを選択します。
  5. ドロップダウン メニューから既存のパーシステンス プロファイルを選択します。
  6. [次へ] をクリックします。
  7. [クライアント側 SSL] ボタンを切り替えてプロファイルを有効にします。
    クライアント側で SSL プロファイル バインドを行うと、複数のホスト名に対応する複数の証明書を同一の仮想サーバに関連付けることができます。
    関連付けられたクライアント側 SSL のプロファイルが自動的に適用されます。
  8. ドロップダウン メニューからデフォルトの証明書を選択します。
    この証明書は、サーバが同じ IP アドレスの複数のホスト名に対応しない場合、またはクライアントが SNI (Server Name Indication) 拡張機能をサポートしていない場合に使用されます。
  9. 使用可能な SNI 証明書を選択し、矢印をクリックして証明書を [選択済み] セクションに移動します。
  10. (オプション) [必須のクライアント認証] を切り替えて、このメニュー項目を有効にします。
  11. 使用可能な CA 証明書を選択し、矢印をクリックして証明書を [選択済み] セクションに移動します。
  12. サーバ証明書チェーンの階層の深さを確認するための [証明書チェーンの深さ] を設定します。
  13. 使用可能な CRL を選択し、矢印をクリックして証明書を [選択済み] セクションに移動します。
    CRL を構成することで、不正なサーバ証明書を禁止することができます。
  14. [次へ] をクリックします。
  15. [サーバ側 SSL] ボタンを切り替えてプロファイルを有効にします。
    関連付けられたサーバ側 SSL のプロファイルが自動的に適用されます。
  16. ドロップダウン メニューからクライアントの証明書を選択します。
    このクライアント証明書は、同じ IP アドレスを持つ複数のホストにサーバが対応しない場合、またはクライアントがサーバ名インディケーション SNI (Server Name Indication) 拡張機能をサポートしていない場合に使用されます。
  17. 使用可能な SNI 証明書を選択し、矢印をクリックして証明書を [選択済み] セクションに移動します。
  18. (オプション) [サーバ認証] を切り替えて、このメニュー項目を有効にします。
    サーバ側 SSL プロファイル バインドによって、SSL ハンドシェイク中にロード バランサに提示されるサーバ証明書を検証する必要があるかどうかを指定します。検証を有効にする場合、サーバ証明書は、同じサーバ側 SSL プロファイル バインドで自己署名証明書が指定されている、信頼する CA の 1 つによって署名されている必要があります。
  19. 使用可能な CA 証明書を選択し、矢印をクリックして証明書を [選択済み] セクションに移動します。
  20. サーバ証明書チェーンの階層の深さを確認するための [証明書チェーンの深さ] を設定します。
  21. 使用可能な CRL を選択し、矢印をクリックして証明書を [選択済み] セクションに移動します。
    CRL を構成することで、不正なサーバ証明書を禁止することができます。サーバ側では、OCSP および OCSP Stapling はサポートされていません。
  22. [終了] をクリックします。