1

Customer Driven Innovation

©2017 A10 Networks, Inc. All rights reserved. A10 Networks、A10ロゴ、A10 Harmony、A10 Lightning、A10 Thunder、aCloud、ACOS、Affinity、

aFleX、aFlow、aGalaxy、aVCS、aXAPI、IDsentrie、IP-to-ID、SSL Insight、Thunder、Thunder TPS、UASGおよび vThunderは米国およびその他各国に

おけるA10 Networks, Inc. の商標または登録商標です。その他上記の全ての商品およびサービスの名称はそれら各社の商標です。

A10 Networksは本書の誤りに関して責任を負いません。 A10 Networksは、予告なく本書を変更、修正、譲渡、および改訂する権利を留保します。 製

品の仕様や機能は、変更する場合がございますので、ご注意ください。

Application Service Gateway Thunder/AX Series

SSL Insight設定ガイド

Document No. : D-030-03-0069-03-JP

Date : 2016/11/8

A10ネットワークス株式会社

東京都港区六本木3-2-1

住友不動産六本木グランドタワー33階

TEL 03-4520-5700

FAX 03-4520-5702

E-Mail jinfo@a10networks.com

2

Customer Driven Innovation

【 更新履歴 】

Document No. Date 評価ACOSバージョン Comments

D-030-03-0069-01-JP 2016/1/6 4.0.3 初版

D-030-03-0069-02-JP 2016/1/22 4.0.3 Page 14-15 各cipher より priority削除

D-030-03-0069-03-JP 2017/7/31 4.1.0-P7 4.1.0/4.1.1用に更新

【 目 次 】

１． SSL Insight機能について .......................................................................... 3 １．１． 本文書について ............................................................................. 3

２． SSL Insight実装方式 .............................................................................. 4 ２．１． 構成例 ..................................................................................... 4 ２．１．１． 物理構成 ............................................................................. 5 ２．１．２． 論理構成 ............................................................................. 6

２．２． 事前準備 ................................................................................... 7 ２．２．１． SSL Insight用CA証明書の作成 ........................................................... 7 ２．２．２． 各サーバの準備 ....................................................................... 7

２．３． サンプルコンフィグ ......................................................................... 8 ２．３．１． ”shared” パーティション ............................................................... 8 ２．３．２． ”inside” パーティション ............................................................... 9 ２．３．１． ”outside” パーティション ..............................................................14

２．４． 動作確認 ...................................................................................16 ２．４．１． サーバ証明書の失効確認................................................................16 ２．４．２． バイパス機能 .........................................................................19 ２．４．３． ICAPサーバとの連携 ...................................................................22

３． SSL Insight 参考文書 .............................................................................24

3

Customer Driven Innovation

１．SSL Insight機能について

１．１．本文書について

本文書ではA10 ThunderシリーズのSSL Insight機能について設定例を示します。SSL Insightの動作に関する詳細につい

ては既存の技術資料「Thunder/AX Series SSL Insight」”D-030-03-0058-02-JP.pdf”をご参照下さい。

4

Customer Driven Innovation

２．SSL Insight実装方式

２．１．構成例

本文書では下記の構成を想定します。

・ 一台のThunderでADPを作成しSSL Insightを実装する

・ SSL Insightのインラインに設置するセキュリティ装置はLayer2 Transparentモードで動作する（Layer3で動作

しているケースにおいても実装可能）

・ IPv4の通信環境

本文書ではADPを下記の3パーティション（shared, inside, outside）で構成しています。

sharedにてinsideあるいはoutsideの役割を実装する2パーティションでの構成（”shared=inside”, outside）（inside,

“shared=outside”）も可能です。

パーティション名 本文書での主な役割

shared ・管理インターフェースの提供

・URLクラシフィケーション機能（後述）の有効化 - sharedパーティションでの設定が必須

− ライセンス管理サーバとの通信のためshared（管理あるいはデータインタフェース）からインタ

ーネットへの接続性が必要

inside ・SSL Insight insideとして動作（HTTPS通信のデコード） - サーバ証明書の失効確認

- バイパス機能

- ICAPサーバとの連携

outside SSL Insight outsideとして動作（HTTPS通信のエンコード）

なお、SSL Insightの基本機能に加え、下記の拡張機能を確認します。

・ サーバ証明書の失効確認

OCSPを利用したサーバ証明書の失効確認

・ バイパス機能

URLクラシフィケーションを利用したカテゴリ別でのバイパス指定

class-listを用いた文字列マッチングでのバイパス指定

クライアント認証が必要なホストについての自動バイパス

・ ICAPサーバとの連携

復号化したHTTP通信の内容をICAPサーバに送信し、応答に従って動作

-失効確認について-

失効確認はinsideのパーティションがOCSPを利用して実施します。

具体的には、そのホストに対するアクセスが初回の（失効情報がまだキャッシュされていない）場合、一旦バイ

パスし接続させます（接続させない選択も可能＝クライアント側との接続を一旦TCP RSTで切断）。それに併行し

て証明書の状況（Good/Revoked）を確認し、キャッシュします。その後はキャッシュに応じてアクセス制御を行

うことが可能となり、Revokedなホストに対する接続があった場合にはバイパス、あるいは接続を終了（Client

Helloに対してTCP FINでクローズ）することができます。なお、Sever Hello受信時にOCSP Stapling（Certificate

Status）で提示されたStatusについてはキャッシュしません。

5

Customer Driven Innovation

２．１．１．物理構成

本文書で参照するThunderの物理構成（接続インターフェース構成）は下図のとおりです。