F5 BIG-IP LTM コネクタ

F5 BIG-IP LTM コネクタにより、DigiCert® Trust Lifecycle Manager を使用して、F5 BIG-IP LTM（Local Traffic Manager）ネットワークアプライアンス上の証明書を検出および管理できます。このコネクタは、ネットワーク内のオンプレミスの DigiCert センサーを使用して、F5 アプライアンスを安全に管理できるように支援します。

このコネクタを追加すると、Trust Lifecycle Manager は、F5 アプライアンス上の既存の証明書を検出して、一元的なインベントリに追加します。そこから、アプライアンス上の証明書ライフサイクルを管理および自動化し、有効な証明書が常にインストールされている状態に保つことができます。

注記

このページには、Trust Lifecycle Manager で F5 コネクタを追加するための基本プロセスが記載されています。接続された F5 アプライアンス上の証明書の管理方法に関する詳細なガイダンスが含まれた、より包括的なガイドについては、「F5 BIG-IP LTM integration guide」を参照してください。

サポートされている F5 アプライアンス

Trust Lifecycle Manager は、F5 BIG-IP LTM アプライアンスのバージョン 12.1.0 以降との統合をサポートしています。デジサートは、以下のバージョンの F5 アプライアンスを正式にテストしています。

ネットワークアプライアンス	バージョン ¹
F5 BIG-IP LTM	12.1.0, 13.0.0, 13.1.1, 13.1.5, 14.0.0, 14.1.2, 15.0.0, 15.1.0, 16.1.2, 17.0.2
_{1.ここにリストされたバージョン番号は、デジサートによって正式にテストされています。同じバージョンのリビジョン（例: F5 BIG-IP LTM 16.1.2.x）は正式にテストされていませんが、機能するものと想定されています。}

サポートされる F5 BIG-IP LTM 機能

Trust Lifecycle Manager との統合には、以下ような F5 BIG-IP LTM 機能のサポートが含まれます。

複数の仮想 IP の管理
フローティングセルフ IP を含む高可用性（HA）構成
単一の VIP での複数のクライアント SSL プロファイルの使用
親および以前のクライアント SSL プロファイルからの設定の継承
任意で、FIPS および NetHSM モジュールへの秘密鍵の保管（該当する場合）
証明書をローテーションする際の iRules、ポリシー、クライアント設定（C3D など）の自動伝播
WAF（Web Application Firewall）構成の一環として作成された仮想サーバー上の証明書の自動化

開始する前に

F5 の要件

Trust Lifecycle Manager で F5 コネクタを構成するには、以下のものが必要となります。

F5 アプライアンスの管理 IP アドレスとポート番号
注記
高可用性（HA）構成では、いずれかのロードバランサーのフローティング IP または管理 IP を使用できます。Trust Lifecycle Manager では、HA ピア構成が自動的に検知されます。
F5 アプライアンスに対するフル管理者ロールを持つユーザーのアカウントクレデンシャル
F5 ユーザーは、Terminal Access プロパティを Advanced shell に設定しておかなければなりません。この設定を確認するには、以下の手順に従います。
1. BIG-IP Configuration Utility にログインします。
2. ［System］タブから、［Users］または［User Management］のオプションを選択します。
3. 該当するユーザーを選択してアカウントのプロパティを表示します。
4. 下の方にある Terminal Accessプロパティを見つけます。ここのドロップダウンで、Advanced shell が選択されていることを確認します。

DigiCert の要件

F5 コネクタを使用するには、F5 アプライアンスと Trust Lifecycle Manager の両方に接続できる DigiCert®センサーが、ネットワーク上に少なくとも 1 つインストールされている必要があります。詳細については、「センサーを展開および管理する」を参照してください。
To use credentials from a PAM vault to authenticate the connection to the F5 appliance, you need a secrets manager connector.
F5 コネクタを構成して統合を管理するには、Trust Lifecycle Manager のマネージャーユーザーロールが必要です。

F5 コネクタを追加する

Trust Lifecycle Manager で F5 BIG-IP LTM コネクタを追加するには、以下の手順に従います。

Trust Lifecycle Manager メインメニューから、［Integrations > Connectors］を選択します。
［コネクタの追加］ボタンを選択します。
［アプライアンス］セクションで、［F5 BIG-IP LTM］ のオプションを選択します。
以下の手順に従って、［コネクタの追加］フォームに情報を入力します。
このコネクタのフレンドリ名を入力します。
このコネクタの事業部門を選択します。この事業部門に割り当てられたユーザーだけが、コネクタを管理できます。
管理センサーの場合、このコネクタの管理に使用するアクティブな DigiCert センサーを選択します。
フォールトトレラントな接続を有効にするために、ここで複数のセンサーを選択できます。いずれかのセンサーに障害が発生した場合、Trust Lifecycle Manager は自動的にフェイルオーバーして他のいずれかのセンサーを使用します。
F5 アプライアンスの管理 IP アドレスと管理ポート番号を入力します。
高可用性（HA）構成では、いずれかのロードバランサーのフローティング IP または管理 IP を入力します。Trust Lifecycle Manager では、HA ピア構成が自動的に検知されます。
管理者ロールを持ち、アカウントのプロパティで Terminal Access プロパティが Advanced shell に設定された F5 のユーザーアカウントのユーザー名とパスワードを入力します。
サイドバー. Direct input
Select this option to add the F5 credentials directly to the connector configuration. Enter the F5 username and password in the fields provided. Trust Lifecycle Manager encrypts the credentials for secure storage in the database.
サイドバー. Secrets manager
Select this option to use F5 credentials stored in a privileged access management (PAM) platform via a secrets manager connector.
Configure the following settings:
Secrets manager connector: Select the secrets manager connector for the PAM platform instance containing the F5 credentials.
Username: Enter the F5 username (for example, f5admin).
Password: Enter a reference to the PAM vault entry containing the password for the F5 username entered above. The reference format depends on the PAM service:
BeyondTrust: Use the format SystemName/AccountName (for example, F5TLM/AdminAccount).
CyberArk: Use the format AccountName (for example, My-F5-credentials ).
重要
Regardless of source, the provided credentials must be for a user account on the F5 that has the Administrator role and the Terminal Access property set to Advanced shell under account properties.
［追加設定］で、Trust Lifecycle Manager が F5 アプライアンスに証明書と鍵をインストールする方法についてのオプションを選択します。
- ［秘密鍵の保管場所］: F5 アプライアンスに証明書をインストールする際の秘密鍵の保管場所についてのオプションを選択します。
  - ［F5 Big-IP ファイルシステム］: 鍵ファイルを、F5 の組み込みドライブ上の標準の保管場所に保管します。これはデフォルトオプションであり、追加の F5 ハードウェアモジュールを必要としません。
  - ［FIPS モジュール］: 鍵ファイルを、F5 の FIPS（Federal Information Processing Standards）認定ハードウェアセキュリティモジュール（HSM）に保管します。このオプションにより、米国政府のセキュリティ要件に対応できます。
  - ［NetHSM］: 秘密鍵ファイルを F5 の NetHSM（Network Hardware Security Module）に保管します。このオプションは、複数のデバイスを横断した暗号鍵の一元管理を実現します。
- ［新しい証明書用に既存のクライアント SSL プロファイルを更新］: このオプションは、新しい証明書をインストールするたびに新しいクライアント SSL プロファイルを（既存のものに基づいて）作成する代わりに、既存のクライアント SSL プロファイルを更新する場合に有効にします。
- ［中間 CA 証明書ファイルを常に保存］: このオプションは、エンドエンティティの新しい証明書をインストールする際に、CA 証明書がすでに F5 上に存在していても、CA 証明書の新しいコピーを常に保存する場合に有効にします。
- ［カスタムファイル名形式を使用］: このオプションは、証明書、鍵、およびプロファイルファイルを F5 に追加する際に使用するカスタムファイル名形式（ファイル拡張子を含まない）を指定する場合に有効にします。デフォルトのファイル名形式は、{{commonname}}_{{DDMMYYYY}}_{{randomstring}} です。
  - {{commonname}}: 該当する証明書のコモンネーム
  - {{DDMMYYYY}}: DDMMYYYY 形式のファイル作成日
  - {{randomstring}}: 証明書を一意に識別するためのランダムな文字列
  ファイル名形式は以下の方法でカスタマイズできます。
  - ［ファイル名のプレフィックス］: Trust Lifecycle Manager によって F5 にインストールされたすべてのファイルに、標準のプレフィックスを追加します。
  - ［日付形式］: DDMMYYYY 以外のファイル作成日形式を選択します。
- ［Recover Previous Settings］: このオプションは、同じ F5 BIG-IP LTM アプライアンスに対する以前のコネクタを持っており、そのコネクタから証明書の自動更新とライフサイクルイベントの設定を復元したい場合に有効にします。有効にした場合、Trust Lifecycle Manager は、同じ F5 アプライアンスの直近で削除されたコネクタから自動化スケジュールを取得し、スケジュールされた自動更新または自動化イベントを、新しいコネクタで一致する証明書に適用します。この設定は、初めて新しい F5 コネクタを追加したときに、一度だけ適用されます。
- ［証明書割り当て規則］: （任意）アプライアンス上で検出された証明書にメタデータを自動的に割り当てるための割り当て規則を選択します。
下部にある［Add］ボタンを選択して、構成済みの設定でコネクタを作成します。

F5 コネクタの詳細を表示する

コネクタの追加後、Trust Lifecycle Manager では、F5 アプライアンスのバージョン、パーティション、仮想 IP、アプライアンス上の既存の証明書といった詳細が検出されます。

Trust Lifecycle Manager で F5 アプライアンスの詳細を表示するには、以下の手順に従います。

Trust Lifecycle Manager メインメニューから、［Integrations > Connectors］を選択します。
テーブル内で F5 コネクタを見つけ、名前を選択して、対応する詳細をロードします。
ヒント
テーブル内で F5 コネクタのみをリストするには、［Provider］列ヘッダーの横にあるフィルタを開き、［F5 BIG-IP LTM］を選択します。
コネクタ詳細ページには以下のセクションがあります。
- 上部の概要: F5 コネクタの基本ステータスとプロパティ
- ［このコネクタで見つかった資産］: Trust Lifecycle Manager によって F5 アプライアンスで検出された証明書とエンドポイントの数
- ［詳細］: 接続された F5 アプライアンスのバージョン、管理 IP/ポート、パーティションなどの情報。

次の手順

ディスカバリー

Trust Lifecycle Manager では、F5 アプライアンスから検出された証明書と仮想 IP が Inventory に追加され、表示および管理ができるようになります。
コネクタ詳細ページで、［検出された資産］セクション内のリンクを使用すると、インベントリ内の該当する資産をすばやく確認できます。
重要
ネットワークアプライアンスの仮想 IP で、Trust Lifecycle Manager が証明書を検出および自動化するためには、証明書が X.509 形式で保管されている必要があります。パスワードで保護された PFX 証明書はサポートされていません。

自動化

接続された F5 アプライアンス上の証明書の管理を自動化するには、証明書ライフサイクル自動化をセットアップします。
F5 アプライアンス上の証明書管理用に作成する証明書自動化プロファイルで、DigiCert sensor 登録方法を選択します。
F5 アプライアンスと統合して Trust Lifecycle Manager から管理する方法に関する、より包括的なガイドについては、「F5 BIG-IP LTM integration guide」を参照してください。

このセクションの内容: