##目的
IBMCloud InternetServicesを活用して、CISを経由したWebサーバへのロードバランスを試す。
今回は、クライアント->CIS Edge間および CIS Edge->origin間の証明書を導入する。
CISは30日間無料でお試しできるので是非やってみましょう
六部に分けて記載する予定です。
- 初期導入編:IBM Cloud CISの動作確認(1) -初期導入編-
- 証明書設定編:本ページ
- 動作確認編:IBM Cloud CISの動作確認(3) -動作確認編-
- GLB編:GLB編:IBM Cloud CISの動作確認(4) -GLB編-
- cache編:IBM Cloud CISの動作確認(5) -cache編-
- セキュリティ編:IBM Cloud CISの動作確認(6) -Security編-
##環境
- ローカル端末:macOS Catalina 10.15.6 1台
- プラットフォーム:IBMCloud
- CDNサービス:IBM Cloud Internet Services 1サービス(Freeプラン)
- 接続先サーバ:CentOS 7.7.1908(Virtual Server for Classic) 1台
###概要構成図
###通信経路
Client -> CIS Edge -> Orgin(kou-cent01) -> CIS Edge -> Client
1.インターネット端末より「www.m365.work」へアクセスする。 -> https://www.m365.work
2.CIS NSサーバからアクセス先アドレスを取得する。
3.インターネット端末とCIS Edge間でTLS(SSL)接続を確立する。
4.リクエストコンテンツのキャッシュがない場合、CISEdgeとoriginサーバ間でTLS(SSL)接続を確立する。
5.originサーバがコンテンツをCISEdgeに返す。
6.CISEdgeがコンテンツをリクエスト元のインターネット端末に返す。
##証明書設定
IBM Cloudポータルでの作業
セキュリティ- -> エンドツーエンドCA証明になっている事を確認
今回はClient~CIS Edge~Originまでの全区間で暗号化するため、エンドツーエンドCA証明とする。
###Client->Edge間の証明書
デフォルトで用意されたユニバーサル証明書をそのまま使うのでも問題ない
予め自分が持っている証明書や、新規で発行することも可能なので追加してみる。
####新規発行
専用の注文 -> FQDNを記入 -> 追加を選択
####所持している証明書をアップロード
アップロード -> 証明書と秘密鍵を記入 -> 追加を選択
アップロードした証明書は上から順に利用されるので、順番に注意すること。
###Edge->origin間の証明書
こちらは証明書の登録と、オリジンサーバ側に証明書をデプロイする必要がある
セキュリティ- -> 起点 -> 注文を選択する。
####新規発行
新規に生成 -> 秘密鍵のタイプを選択 -> 証明書発行ホスト名を記入 -> 証明書の期限を選択 -> 注文を選択
証明書が発行され、秘密鍵が表示される。
ここで注意したいのが、秘密鍵をここで保存しておかないとポータル上から再表示できないこと。
####所持している証明書をアップロード
自分のものをアップロード -> 証明書署名要求に所有している証明書の情報を記入
-> 証明書発行ホスト名を記入 -> 証明書の期限を選択 -> 注文を選択
以上で証明書設定は終了
次回から動作確認を実施していく。
##続きはこちら
IBM Cloud CISの動作確認(3) -動作確認編-