サーバ証明書を Let's Encrypt から自動取得する
Description
SMA100 シリーズ アプライアンスファームウェアバージョン10.2以上において、SSLサーバ証明書をLet's Encrypt から自動取得が可能となりました。
また、SMA1000シリーズアプライアンスにおいても、ファームウェアバージョン12.4.1から、SSLサーバ証明書をLet's Encrypt から自動取得が可能となりました。
本KBでは、自動取得の注意点について説明します。
Resolution
対象機種:
SMA100シリーズアプライアンス - SMA200, SMA400, SMA210, SMA410, SMA500v 仮想アプライアンス(Hyper-v, ESXi, AWS, Azure)
SMA100シリーズアプライアンス - SMA6200, SMA7200, SMA6210, SMA7210, SMA8200v 仮想アプライアンス(Hyper-v, ESXi, AWS, Azure)
SMA100シリーズアプライアンス
バージョンが10.2 以上であることを確認します。
証明書自動発行は、アプライアンスの管理GUIで、システム>証明書 ページの Let's Encrypt 証明書の作成 より行います。
自動取得時、Let's Encrypt はSMA100シリーズアプライアンスにTCP Port 80でアクセスします。本機能を使用する場合は、上位のファイアウォール等でアクセスが可能にしてください。
自動取得時に、発行するポータルを指定します。その際 Let's Encrypt は、ポータルの編集>仮想ホスト タブの仮想ホストドメイン名の項目を使用しDNS名前解決を行います。名前解決に失敗すると証明書の自動発行が失敗します。また、名前解決したIPアドレスで外部からSMA100アプライアンスにアクセスできる必要があります。
自動取得に失敗した場合、TSR(Tech Support Report)に含まれる acme.sh.log に詳細が記載されます。TSRは システム>診断 より取得が可能です。"error" で検索し、詳細を確認してください。
発行された証明書はLet's Encryptのポリシーによる既定の有効期限(90日)が設定されています。有効期限は、自動的に更新されますが、上記で説明したとおり、外部から仮想ホストドメイン名の名前解決ができ、SMA100に対して名前解決したIPアドレスのTCP Port 80でアクセスできることが必要となります。
SMA1000シリーズアプライアンス
バージョンが12.4.1 以上であることを確認します。
発行方法:
- 証明書自動発行は、アプライアンスの管理GUIで、System Configuration > SSL Settings ページで、SSL Certificates の Edit より実施します。
- +アイコンをクリックしCreate Let's Encrypt Certificate を選択します。
- Fully Qualified Domain Name およびAlternative Name欄にこのWorkplaceのFQDNを入力し、I agree to the Let's Encrypt terms of service をチェックし Create をクリックします。生成に失敗した場合、エラーメッセージが表示されます。成功した場合、Apply Pending Changes の実施を忘れないようにします。
トラブルシュート
- Fully Qualified Domain Name およびAlternative Name に入力する情報は外部からパブリックIPに名前解決が行えるようにして下さい。
- さらに外部より名前解決したパブリックIPのTCP Port 80 でアプライアンスにアクセスできるように上位のファイアウォールを設定して下さい。尚送信元(Let's Encrypt)の情報は公開されていないため、送信元IPでフィルターを掛けないで下さい。
- 発行された証明書はLet's Encryptのポリシーによる既定の有効期限(90日)が設定されています。有効期限は、自動的に更新されますが、上記で説明したとおり、外部からFully Qualified Domain Name およびAlternative Name に入力したドメイン名の名前解決ができ、外部から名前解決アプライアンスにアクセスできるように設定して下さい。
