ロードバランサー(nfv)で使用するサーバ証明書の登録

対象リージョン:東日本第3/西日本第3

ロードバランサー(nfv)を利用してHTTPS通信やSSL通信を行う場合に、鍵管理機能へサーバ証明書を登録する手順を説明します。鍵情報コンテナを作成することにより、サーバ証明書が登録されたことになります。

始める前に

ロードバランサー用のサーバ証明書を登録するため、以下を準備します。ファイル名は作成したもので読み替えてください。

  • 認証局証明書 ca.crt
  • サーバ証明書 server.crt
  • サーバ秘密鍵 server.key
注: サーバ秘密鍵は暗号化されていないものを準備してください。

手順

  1. 認証局証明書の登録

    鍵管理サービスを使用して、認証局証明書を登録してください。登録方法については、以下を参照してください。

    • 東日本リージョン3/西日本リージョン3の場合

      「APIリファレンス(東日本リージョン3/西日本リージョン3)」の「Creates a Secret entity」を参照してください。

    表 1. 認証局証明書登録の設定例
    設定項目 設定例
    鍵情報名 ca
    保持期限 2025-12-31T23:59:59
    秘密情報(payload)

    -----BEGIN CERTIFICATE-----\n

    (ca.crtのペイロードの改行コードを「\n」に置換した文字列) \n

    -----END CERTIFICATE-----

    秘密情報のコンテンツタイプ

    text/plain

    注: コンテンツタイプは必ず「text/plain」を指定してください。
  2. サーバ証明書の登録

    鍵管理サービスを使用して、サーバ証明書を登録してください。登録方法については、以下を参照してください。

    • 東日本リージョン3/西日本リージョン3の場合

      「APIリファレンス(東日本リージョン3/西日本リージョン3)」の「Creates a Secret entity」を参照してください。

    表 2. サーバ証明書登録の設定例
    設定項目 設定例
    鍵情報名 server_certificate
    保持期限 2025-12-31T23:59:59
    秘密情報(payload)

    -----BEGIN CERTIFICATE-----\n

    (server.crtのペイロードの改行コードを「\n」に置換した文字列) \n

    -----END CERTIFICATE-----

    秘密情報のコンテンツタイプ

    text/plain

    注: コンテンツタイプは必ず「text/plain」を指定してください。
    ヒント:

    サーバ証明書以外の証明書を含める場合、以下のように情報を記載したファイルを、新たにserver.crtファイルとして使用してください。

    • 中間CA証明書を含む場合

      -----BEGIN CERTIFICATE-----
        サーバ証明書の秘密情報
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
        中間CA証明書の秘密情報
      -----END CERTIFICATE-----
    • 中間CA証明書およびクロスルート証明書を含む場合

      -----BEGIN CERTIFICATE-----
        サーバ証明書の秘密情報
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
        中間CA証明書の秘密情報
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
        クロスルート証明書の秘密情報
      -----END CERTIFICATE-----
  3. サーバ秘密鍵の登録

    鍵管理サービスを使用して、サーバ秘密鍵を登録してください。登録方法については、以下を参照してください。

    • 東日本リージョン3/西日本リージョン3の場合

      「APIリファレンス(東日本リージョン3/西日本リージョン3)」の「Creates a Secret entity」を参照してください。

    表 3. サーバ秘密鍵登録の設定例
    設定項目 設定例
    鍵情報名 server_key
    保持期限 2025-12-31T23:59:59
    秘密情報

    -----BEGIN RSA PRIVATE KEY-----\n

    (server.keyのペイロードの改行コードを「\n」に置換した文字列)\n

    -----END RSA PRIVATE KEY-----

    秘密情報のコンテンツタイプ

    text/plain

    注: コンテンツタイプは必ず「text/plain」を指定してください。
  4. 鍵情報コンテナの作成

    上記で作成した3つのサーバ証明書と秘密鍵をまとめて、鍵情報コンテナを作成してください。鍵情報コンテナの作成方法については、以下を参照してください。

    • 東日本リージョン3/西日本リージョン3の場合

      「APIリファレンス(東日本リージョン3/西日本リージョン3)」の「Create a container」を参照してください。

    表 4. 鍵情報コンテナの設定例
    設定項目 設定例
    鍵情報コンテナ名 LB_NFV_Credential
    鍵情報タイプ

    generic

    注: 鍵情報タイプは必ず「generic」を指定してください。
    鍵情報リスト

    以下の要素をもつオブジェクトのリストとして指定

    • "name":以下のすべてを鍵情報の名前として固定で指定
      • 認証局証明書の場合: ca
      • サーバ証明書の場合: server_certificate
      • サーバ秘密鍵の場合: server_key
    • "secret_ref":各鍵情報を作成した際に生成された、"secret_ref"の値を指定

    設定例:

    "secret_refs": {

    "name": "LB_NFV_Credential",

    "type": "generic",

    "secret_refs": [

    {

    "name": "ca",

    "secret_ref": "https://keymanagement.jp-west-3.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{認証局証明書鍵情報のID}"

    },

    {

    "name": "server_certificate",

    "secret_ref": "https://keymanagement.jp-west-3.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{サーバ証明書鍵情報のID}"

    },

    {

    "name": "server_key",

    "secret_ref": "https://keymanagement.jp-west-3.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{サーバ秘密鍵鍵情報のID}"

    }

    ]

    }

    ヒント: intermediatesの設定は必要ありません。