SSL-VPN用鍵コンテナ作成

注意: K5クライアント証明書を利用する場合、本作業は不要です。
参考: 鍵コンテナとはCA証明書、サーバ証明書、秘密鍵及びDH鍵をまとめた集合体です。 鍵コンテナの「鍵コンテナID」が「 SSL-VPN 接続 (SSL-VPN コネクション) の作成」時に必要になります。

APIを利用して、SSL-VPN用鍵コンテナを作成します。今回はK5 IaaSポータルのAPI実行機能を使用します。

  1. 鍵コンテナを作成します。
    1. IaaS サービスポータルの[API実行]画面を表示させます。[リクエスト]欄 で以下を指定します。

      図: [API実行]画面 鍵コンテナ作成 [リクエスト]欄 記入例

      表 1.
      No 項目 説明 本書での設定値
      1 リージョン API実行先を選択します(必須)。 jp-west-2
      2 HTTPメソッド 「POST/GET」が選択可能です(必須)。ここでは「POST」を選択します(固定)。 POST
      3 エンドポイント API実行先のコンポーネントを選択します(必須)。ここでは「keymanagement」を選択します。(固定) keymanagement
      4 URI エンドポイントに続くURIを入力します(必須)。ここでは「 /v1/{プロジェクトID}/containers」を入力します。(固定) /v1/{プロジェクトID}/containers
      参考:

      プロジェクトIDはテナントIDと同一です。[リクエスト]欄のテナントIDを入力してください。
    2. [リクエストボディ ]欄に以下を入力します。 
      {
  "name":"{鍵コンテナ名 (任意)}",
  "type": "generic",
  "secret_refs":[
    {"name": "ca", "secret_ref": "{CA証明書のsecret_ref}"},
    {"name": "server_certificate", "secret_ref": "{サーバ証明書のsecret_ref}"},
    {"name": "server_key", "secret_ref": "{サーバ証明書用秘密鍵のsecret_ref}"},
    {"name": "dh", "secret_ref": "{DH鍵のsecret_ref}"}
  ] 
}
      ポイント: SSL-VPN用証明書登録 時に取得した各証明書等の「secret_ref」を使用してください。
      参考: 鍵コンテナ名

      各サービスで使用可能な文字については、 「付録 命名時に使用可能な文字」 を参照してください。

    3. [API実行]ボタンをクリックします。
    4. [レスポンス]欄に以下のようなレスポンスコード201が表示されていることを確認してください。 表示されていれば登録できています。 
      {
  "Response": 201,
  "Header": {
    "x-return": "Endpoint",
    "date": "Fri, 18 Aug 2017 07:32:04 GMT",
    "content-type": "application/json;charset=UTF-8",
    "x-fcx-endpoint-request": "EXECUTED_REQ001765628_201"
  },
  "Body": {
    "container_ref": " http://keymanagement.{リージョン識別子}.cloud.global.fujitsu.com/{プロジェクトID}/containers/{鍵コンテナID}"
  }
}
  2. 作成済の鍵コンテナを確認します。
    1. [リクエスト]欄 で以下を指定します。

      図: [API実行]画面 鍵コンテナ確認 [リクエスト]欄 記入例

      表 2.
      No 項目 説明 本書での設定値
      1 リージョン API実行先を選択します(必須)。 jp-west-2
      2 HTTPメソッド 「POST/GET」が選択可能です(必須)。ここでは「GET」を選択します(固定)。 GET
      3 エンドポイント API実行先のコンポーネントを選択します(必須)。ここでは「keymanagement」を選択します。(固定) keymanagement
      4 URI エンドポイントに続くURIを入力します(必須)。ここでは「 /v1/{プロジェクトID}/containers」を入力します。(固定) /v1/{プロジェクトID}/containers
      参考:

      プロジェクトIDはテナントIDと同一です。[リクエスト]欄のテナントIDを入力してください。
    2. [API実行パラメータ]欄に自動的に作成されたAPI実行パラメータが表示されます。
      参考:

      [リクエストボディ]欄は入力する必要はありません。

    3. [API実行]ボタンをクリックします。
    4. [レスポンス]欄に以下のような内容が表示されていることを確認してください。表示されていれば作成できています。 
      {
  "Response": 200,
  "Header": {
    "x-return": "Endpoint",
    "date": "Fri, 18 Aug 2017 07:37:08 GMT",
    "content-type": "application/json;charset=UTF-8",
    "x-fcx-endpoint-request": "EXECUTED_REQ001820676_200"
  },
  "Body": {
    "total": 1,
    "containers": [
      {
        "status": "ACTIVE",
        "updated": "2017-08-18T07:32:06.314743",
        "name": "{鍵コンテナ名(任意)}",
        "secret_refs": [
          {
            "secret_id": "{CA証明書ID}",
            "name": "ca"
          },
          {
            "secret_id": "{サーバ証明書ID}",
            "name": "server_certificate"
          },
          {
            "secret_id": "{サーバ証明書用秘密鍵ID}",
            "name": "server_key"
          },
          {
            "secret_id": "{DH鍵ID]",
            "name": "dh"
          }
        ],
        "created": "2017-08-18T07:32:06.314727",
        "container_ref": "https://keymanagement.{リージョン識別子}.cloud.global.fujitsu.com/v1/{プロジェクトID}/containers/{鍵コンテナID}",
        "type": "generic"
      }
    ]
   }
 }
  3. 「container_ref」パラメータの末尾に記載されている「鍵コンテナID」は「SSL-VPN 接続 (SSL-VPN コネクション) の作成」で使用するため、控えておいてください。

鍵コンテナを作成する手順の詳細は、 IaaS API ユーザーズガイド 「SSL-VPN用鍵コンテナ作成(V2サービス/自己署名証明書利用)」 を参照してください。