Closed5
Big-IPでSSLのパススルーを実装したい
soBig-IPは443で待ち受けるんだけど、Big-IPに証明書は入れず、バックエンドのサーバの証明書を横流しして、クライアント側に検証させたい。
なので、必然的にBig-IP⇔サーバ間の通信はHTTPS。
so設定としてはこのあたりだと思う。これなら、Big-IPとサーバ間で証明書検証できれば、クライアント⇔Big-IP間はよしなにやってくれる。
soただ、今回の制約として、サーバに入れる証明書は自己署名で、それを検証するための独自CA証明書はBig-IPに入れられない(共用のBig-IPなので)。
クライアントには、独自CA証明書は入れられる。
soつまり、Big-IPでは特に証明書の検証を行わず、サーバの証明書をただ右から左にクライアントに横流しして欲しい。
そんなのできるのか?
soiRuleとか使えばできそうな気もするけど、そもそもそんな飛び道具を使わないといけない構成が悪いな。
これの教訓としては、I/F仕様をきちんと整理しよう、HTTPS(証明書) は特に整理しよう、というところかな。
このスクラップは2024/01/05にクローズされました