FortiGate SSLオフロードのためのロードバランス設定

FortiGate

FortiGateでSSLオフロードを実装する方法についてです。

証明書のインポート

まずは、SSLオフロードするためのサーバ証明書をFortiGateにインポートする必要があります。

その前に、「システム」>「表示機能設定」より証明書を有効化します。

その後、「システム」>「証明書」の「インポート」>「ローカル証明書」をクリックします。

必要あれば、「CA証明書」も同様にインポートします。

「証明書をインポート」の画面が表示されます。「タイプ」のリストから「証明書」を選択し、証明書ファイル、キーファイル、パスワード(任意)を指定して、「OK」をクリックします。

ロードバランスの設定

続いて、ロードバランスの設定を行います。

まずは、証明書のインポートと同様「ロードバランス」の表示機能設定を有効化します。

「ポリシー&オブジェクト」>「バーチャルサーバ」から、「新規作成」を実施します。

【新規バーチャルサーバ】
 名前:(任意)

【ネットワーク】
 タイプ:HTTPS
 インターフェース:(対象のインターフェース)
 バーチャルサーバIP:(対象のバーチャルサーバIP)
 バーチャルサーバポート:(対象のバーチャルサーバポート)通常、443
 ロードバランス方式:スタティック
 (今回は、リアルサーバ1台想定のため、ロードバランス方式:スタティック、以降ヘルスチェックなども未設定)

【SSLオフロード】
 モード:クライアント↔FortiGate
 証明書:(インポートした証明書)

【リアルサーバ】
 実際のサーバのIPアドレスとポート番号を登録する

HTTPから、HTTPSへのリダイレクト設定

今までの内容だと、http://FQDN では、アクセスできません。

できれば、http://FQDN と入力したら、https://FQDN へリダイレクトし、アクセスできたら嬉しいですよね。

 

設定方法は、下記の記事の通りです。

HTTP to HTTPS redirect for load balancing | Cookbook
The Fortinet Cookbook contains examples of how to integrate Fortinet products into your network and use features such as...

 

ポイントは、HTTPSだけでなく、「ロードバランスの設定」の通りHTTPのvipを作成し、

HTTP側のvipに、set http-redirect enable を入れる必要があります。

config firewall vip

edit “virtual-server-http”

set http-redirect enable

 

参考書籍

 

コメント

タイトルとURLをコピーしました