挨拶
本記事では、NetScaler Console Service 上で ACME を設定するための手順です。本記事の前提条件は次の通りです:
・NetScaler Console Service のセットアップが完了していること
・NetScaler 、NetScaler Agent それぞれのInstanceがNetScaler Console Serviceに登録済みであり、疎通可能なこと
・DNS Provider はCloudFlare を使用しております、またCloudFlare 側の必要設定は省略しております、ドメインも事前に取得する必要があります
・証明書はLet's Encrypt のステージング環境を使用しております
- 挨拶
- 1-1 ACME 設定
- 1-2 ACME 設定(Step1)
- 1-3 ACME 設定(Step2/3)
- 1-4 ACME 設定(確認)
- 2-1 証明書を申請する
- 2-2 証明書申請(Step1)
- 2-3 証明書申請(Step2)
- 2-4 証明書申請(Step3)
- 2-5 証明書の確認
- 2-6 証明書発行ステータス確認
- 2-7 CloudFlare 監査ログ
- 3-1 Zero-Touch Certificate Management設定
- 3-2 NetScaler 設定確認
- 4-1 免責事項
1-1 ACME 設定
ACME を利用した証明書の自動申請、発行は、NetScaler Console Service の「Third-party Integration」から設定できます。
以下の手順で「CA Vendors」画面へ移動します。
1.Infrastructure > SSL Dashboard > Third-party Integration をクリックします。
2.ACME > CA Vendors 内にある「Add」をクリックします。
1-2 ACME 設定(Step1)
1.Step1 の「Configure certificate authority vendor」画面で必要事項を入力し、「Save & continue」をクリックします。
1-3 ACME 設定(Step2/3)
1.Step2 の「Select certificates」画面は設定を変更せず、そのまま「Save & continue」をクリックします。
2.Step3 の「DNS provider & domain mapping」画面で「Add」をクリックし、「Add DNS provider」画面へ移動します。
*Token、Zone ID、Account IDはDNS providerより事前に取得します。
3.必要事項を入力したら、「Save」をクリックします。
4.最後に「Submit」をクリックして設定を完了します。
1-4 ACME 設定(確認)
CA Vendors 作成後の画面です。
1.STATUS が「Configured」となっていることを確認します
2.「DNS Providers」には、先に作成した DNS provider が確認できます
2-1 証明書を申請する
1.ACME の設定が完了したら、証明書を申請・発行するための設定に進みます。
証明書の申請は「Certificate Issuance & Renewals」画面から行います。
2.以下の手順で 「 Certificate Issuance & Renewals 」画面へ移動します。
1.Infrastructure > SSL Dashboard > Issuance & Renewals をクリックします。
2.画面上の「Issue Certificate」にポインターを合わせ、「I do not have CSR」をクリックします。
2-2 証明書申請(Step1)
1.Issue certificate 画面の「Certificate name」に証明書の名称を入力します。
2.Step1「Certificate key」画面では、「I do not have a Key」を選択し、必要事項を入力します。
3.入力後、「Next」をクリックします。
2-3 証明書申請(Step2)
1.Step2 の「Distinguished fields information」画面で必要事項を入力し、「Next」をクリックします。
2-4 証明書申請(Step3)
1.Step3 の「Create and store certificate」画面で必要事項を入力し、「Submit」をクリックします。
2.処理が完了すると「Activity completed」画面に「Certificate issuance workflow completed」が表示されます。
2-5 証明書の確認
1.以下の手順で「Certificate Issuance & Renewals」画面へ移動します。
・Infrastructure > SSL Dashboard > Issuance & Renewals をクリックします。
・「Automatic renewals」に発行された証明書を確認します。
2-6 証明書発行ステータス確認
1,以下の手順で「Certificate Issuance & Renewals」画面へ移動します。
・Infrastructure > SSL Dashboard > Issuance & renewal logs をクリックします。
・証明書の発行、更新、成功・失敗ステータスの確認ができます。
2-7 CloudFlare 監査ログ
1,NetScaler Console Service が作成する _acme-challenge TXT レコードを CloudFlare の監査ログから確認が出来ます。
・ログイン後 > アカウント管理 > 監査ログ
3-1 Zero-Touch Certificate Management設定
1.NetScaler Console Service が自動的に申請した証明書を、NetScaler に配布するために「Zero-Touch Certificate Management」を利用します。
2.以下の手順で「Zero-Touch Certificate Management」画面に移動します。
・Infrastructure > SSL Dashboard > Zero-Touch Certificate Management をクリックします。
*はじめて設定する場合は「Get Started」をクリックし、次の画面で「Skip」を選択すると、「Zero-Touch Certificate Management」画面に進みます。
*自動的に生成された証明書は「Zero-Touch Certificate Management」に保存されます。
3.「Configure zero-touch」をクリックします。
4.「Zero-touch enabled instances」画面で「Add instances」をクリックし、「Zero-Touch Certificate Management」に移動します。表示される Instance にチェックを入れ「Enable」をクリックします。
*注意:Enable をしたタイミングで、 NetScaler に設定が送信されます。
5.完了後、「Activity complete」が表示され、「Close」をクリックします。
6.「Zero-touch enabled instances」画面に戻り、先の手順でチェックを入れた Instance が表示されます。「×」をクリックし作業が完了します。
3-2 NetScaler 設定確認
1.Zero-Touch Certificate Management 設定前、と後の NetScaler 側のステータス確認です。
*Remoteserver IP = NetScaler Agent
4-1 免責事項
- 本ブログ(以降:本書)の記載にあたりまして、細心の注意を払っておりますが、正確性、完全性を保証するものではありません。
- 製品のバージョンアップやサービス変更に伴うGUI、CLIコマンドが変更になることがあります。最新の情報は各製品のドキュメントをご覧ください。
- 本書の利用によって生じたあらゆる損害に関して、一切の責任を負いかねます。
