はじめに
何百もある新規構築サーバの証明書を一度に更新する必要がある場合があるとします。サーバ次第とはなりますが、WebコンソールのGUIでCSRを作成することができます。しかし、大量に作成する必要がある場合は、1台ずつ行う必要があるため非常に手間となります。
今回は、BIG-IPを用いて簡単に大量のCSR(とそれに紐づく秘密鍵)を作成する方法について紹介したいと思います。
CSRの作成方法について
BIG-IPでは下記で紹介されている通り、GUIでCSRを作成することができます。
しかし、今回はCLIで作成します。teraterm等でSSHログインを行います。tmshを使用します。
流し込むコマンドは下記の通りです。2種類あります。
まず、以下のコマンドで秘密鍵を作成します。ここでは、test.keyという名前の鍵が新規作成されます。
create sys crypto key test.key key-type rsa-private key-size 2048
次にCSRを新規作成します。CSRを作成するときには秘密鍵が必要となりますので、1つ目のコマンドで作成した秘密鍵を使用します。
create sys crypto csr test.csr common-name test.com organization “test co.ltd” ou “test department” city “minato-ku” state “Tokyo” country “JP” subject-alternative-name IP:10.1.1.1 key test.key
また、数年前から主要なブラウザはcommon-nameではなくSANs(Subject Alternative Name)でチェックを行いますので、ここに証明書の更新を行いたいWebサーバ等のDomain-NameもしくはIPアドレスを指定します。WebサーバにアクセスするURLがhttps://10.1.1.1/~の場合は例のコマンドで問題ございません。https://test.com/~のような場合は下記のコマンドとします。
create sys crypto csr test.csr common-name test.com organization “test co.ltd” ou “test department” city “minato-ku” state “Tokyo” country “JP” subject-alternative-name DNS:test.com key test.key
SANsに複数のIPアドレスやDomain-Nameを指定したい場合
下記のコマンドで対応可能となります。例では、複数のIPアドレスを用いた場合としています。Domain-NameならばIP→DNSにしていただければ問題ありません。
create sys crypto csr test.csr common-name test.com organization “test co.ltd” ou “test department” city “minato-ku” state “Tokyo” country “JP” subject-alternative-name IP:10.1.1.1,IP:10.1.1.2,IP:10.1.1.3 key test.key
大量に作成する場合の注意点
エクセルなどを用いることで、流し込み用コマンドを大量に作成することができます。しかし、注意点がございます。流し込みのスピードが速すぎるとBIG-IPの方で処理が間に合わず全てのコマンドが投入されません。100行流し込んだとしたらそのうちの60行は流し込まれているイメージです。
teratermの設定で流し込み速度を調整する項目があります。そこをデフォルトから1000(1秒)に変更しましょう。1秒ずつコマンドが投入されるならば欠落することはありません。
コメント