FortiGateでSSLオフロードを実装する方法についてです。
証明書のインポート
まずは、SSLオフロードするためのサーバ証明書をFortiGateにインポートする必要があります。
その前に、「システム」>「表示機能設定」より証明書を有効化します。
その後、「システム」>「証明書」の「インポート」>「ローカル証明書」をクリックします。
必要あれば、「CA証明書」も同様にインポートします。
「証明書をインポート」の画面が表示されます。「タイプ」のリストから「証明書」を選択し、証明書ファイル、キーファイル、パスワード(任意)を指定して、「OK」をクリックします。
ロードバランスの設定
続いて、ロードバランスの設定を行います。
まずは、証明書のインポートと同様「ロードバランス」の表示機能設定を有効化します。
「ポリシー&オブジェクト」>「バーチャルサーバ」から、「新規作成」を実施します。
【新規バーチャルサーバ】
名前:(任意)
【ネットワーク】
タイプ:HTTPS
インターフェース:(対象のインターフェース)
バーチャルサーバIP:(対象のバーチャルサーバIP)
バーチャルサーバポート:(対象のバーチャルサーバポート)通常、443
ロードバランス方式:スタティック
(今回は、リアルサーバ1台想定のため、ロードバランス方式:スタティック、以降ヘルスチェックなども未設定)
【SSLオフロード】
モード:クライアント↔FortiGate
証明書:(インポートした証明書)
【リアルサーバ】
実際のサーバのIPアドレスとポート番号を登録する
HTTPから、HTTPSへのリダイレクト設定
今までの内容だと、http://FQDN では、アクセスできません。
できれば、http://FQDN と入力したら、https://FQDN へリダイレクトし、アクセスできたら嬉しいですよね。
設定方法は、下記の記事の通りです。
ポイントは、HTTPSだけでなく、「ロードバランスの設定」の通りHTTPのvipを作成し、
HTTP側のvipに、set http-redirect enable を入れる必要があります。
config firewall vip
edit “virtual-server-http”
set http-redirect enable
参考書籍
コメント