コントローラは、安全な通信を確立するために証明書をクライアントに送信する必要があります。この証明書には、Avi Controller クラスタのホスト名または IP アドレスと一致する Subject Alternative Name (SAN) が必要です。
コントローラにはデフォルトの自己署名の証明書があります。ただし、この証明書には正しい SAN がありません。正しい SAN を持つ有効な証明書または自己署名証明書に置き換える必要があります。自己署名証明書を作成するか、外部証明書をアップロードします。
証明書の詳細については、Avi のドキュメントを参照してください。
手順
- Avi Controller ダッシュボードで、左上隅にあるメニューをクリックして、 の順に選択します。
- [SSL/TLS 証明書] を選択します。
- 証明書を作成するには、[作成] をクリックし、[コントローラ証明書] を選択します。
[新しい証明書 (SSL/TLS)] ウィンドウが表示されます。
- 証明書の名前を入力します。
- 事前に作成された有効な証明書がない場合は、[タイプ] に
Self Signed を選択して自己署名証明書を追加します。
- 次の詳細を入力します。
| オプション |
説明 |
| 共通名 |
サイトの完全修飾名を指定します。サイトが信頼されていると見なされるには、このエントリがクライアントのブラウザに入力されたホスト名と一致する必要があります。 |
| サブジェクトの代替名 (SAN) |
Avi Controller が単一ノードとしてデプロイされている場合は、クラスタの IP アドレスまたは FQDN、あるいは両方を入力します。 IP アドレスまたは FQDN のみが使用されている場合は、これがデプロイ時に指定したコントローラ仮想マシンの IP アドレスと一致する必要があります。コントローラのデプロイを参照してください。 Avi Controller クラスタが 3 ノードのクラスタとしてデプロイされている場合は、クラスタの IP アドレスまたは FQDN を入力します。3 コントローラ ノードで構成するクラスタのデプロイの詳細については、コントローラ クラスタのデプロイを参照してください。 |
| アルゴリズム |
EC(楕円曲線暗号)または RSA を選択します。EC が推奨です。 |
| キーのサイズ |
ハンドシェイクに使用する暗号化のレベルを選択します。
SECP256R1 は EC 証明書に使用されます。- RSA 証明書には 2048 ビットが推奨です。
|
- [保存] をクリックします。
この証明書は、スーパーバイザー クラスタでワークロード管理機能を有効にするように構成する場合に必要になります。
- 作成した自己署名証明書をダウンロードします。
- の順に選択します。
証明書が表示されない場合は、ページを更新します。
- 作成した証明書を選択し、ダウンロード アイコンをクリックします。
- 表示された [証明書のエクスポート] 画面で、証明書に対して [クリップボードにコピー] をクリックします。キーをコピーしないでください。
- 後でワークロード管理の有効化の際に使用するためにコピーした証明書を保存します。
- 事前に作成された有効な証明書がある場合は、[タイプ] に
Import を選択してアップロードします。
- [証明書] で [ファイルのアップロード] をクリックして、証明書をインポートします。
アップロードする証明書の SAN フィールドには、コントローラのクラスタ IP アドレスまたは FQDN が必要です。
注: 証明書の内容をアップロードまたは貼り付けるのは、必ず 1 回だけにしてください。
- [キー (PEM) または PKCS12] で [ファイルのアップロード] をクリックして、キーをインポートします。
- [検証] をクリックして、証明書とキーを検証します。
- [保存] をクリックします。
- ポータル証明書を変更するには、次の手順を実行します。
- Avi Controller ダッシュボードで、左上隅にあるメニューをクリックして、 の順に選択します。
- [アクセス設定] を選択します。
- [編集] アイコンをクリックします。
- [SSL/TLS 証明書] で、既存のデフォルト ポータル証明書を削除します。
- ドロップダウンで、新しく作成した証明書またはアップロードした証明書を選択します。
- [保存] をクリックします。
