Udemyセール開催中!(〜4/1まで)

【F5】BIG-IPの自己証明書の削除方法【CLI】

当ブログは広告リンクを含みます。
  • URLをコピーしました!
目次

【F5】BIG-IPの自己証明書の削除方法【CLI】

bigipのCLIで自己証明書の削除方法をまとめていきます。自己証明書の作成方法は2種類ありましたが、削除方法は一緒になります。

自己証明書の作成方法は別記事で紹介しております。

あわせて読みたい
【F5】BIG-IPの自己証明書の作成方法【CLI】 【【F5】BIG-IPの自己証明書の作成方法【CLI】】 bigipのCLIで自己証明書の作成方法をまとめていきます。GUIで設定することもできるのですが、ぽちぽちするのが億劫なの...

BIG-IPのCLIで自己証明書を削除する流れ

設定の流れ
  1. 削除するClient SSL profileが利用されていないことを確認する
  2. Client SSL Profile を削除する
  3. 自己証明書を削除する
  4. 秘密鍵を削除する
  5. 設定の保存
  6. 設定の同期(冗長の場合)

削除するClient SSL profileが利用されていないことを確認する

tmsh show /ltm virtual profiles | egrep 'Ltm::Virtual Server:| Ltm::ClientSSL Profile:'
tmsh list ltm virtual one-line | grep <SSLプロファイル名>

削除するClient SSL profileがVSに紐づいていないことを確認します。また、2行目のコマンドで全てのVirtual Serverから該当のSSLプロファイルが適用されているVirtual Serverを絞り込めます。

K20522219: Mapping SSL certificates to virtual servers from the BIG-IP command line

Client SSL Profile を削除する

tmsh list ltm profile client-ssl test_ssl_profile

tmsh delete ltm profile client-ssl test_ssl_profile

tmsh list ltm profile client-ssl test_ssl_profile

「test_ssl_profile」という自己証明書目的で作成したSSL profileを削除します。

自己証明書を削除する

tmsh list sys crypto cert f5test.com_self-signed_2020.crt

tmsh delete sys crypto cert f5test.com_self-signed_2020.crt

tmsh list sys crypto cert f5test.com_self-signed_2020.crt

「f5test.com_self-signed_2020.crt」という自己証明書を削除します。この時点で、OpenSSHで作成した場合に作成されるディレクトリ/sys/file/ssl-crt/配下の「f5test.com_self-signed_2020.crt」ファイルも削除されます。つまり、sys crypto cert配下で消せば、/sys/file/ssl-crt/配下の設定も同時に削除されます。

K15462: Managing SSL certificates for BIG-IP systems using tmsh

秘密鍵を削除する

tmsh list sys crypto key f5test.com_self-signed_2020.key

tmsh delete sys crypto key f5test.com_self-signed_2020.key

tmsh list sys crypto key f5test.com_self-signed_2020.key

「f5test.com_self-signed_2020.key」という秘密鍵を削除します。この時点で、OpenSSHで作成した場合に作成されるディレクトリ/sys/file/ssl-key/配下の「f5test.com_self-signed_2020.key」ファイルも削除されます。つまり、sys crypto key配下で消せば、/sys/file/ssl-key/配下の設定も同時に削除されます。

K15462: Managing SSL certificates for BIG-IP systems using tmsh

設定の保存

tmsh save sys config

設定の同期

tmsh run cm config-sync to-group デバイスグループ名

冗長構成であれば、同期も忘れずに行う。

まとめ

最後にまとめになります!

  • 作業前に必ずSSL ProfileがVirtual Serverに紐づいていないことを確認
  • bigipで自己証明書の削除はディレクトリ名「sys crypto cert」と「sys crypto key」を削除すれば完了

以上!

AWSエンジニアへの転職を目指すなら!

実務ベースのCI/CDパイプライン作成まで学べるAWSスクールでAWSエンジニアを目指そう!

目次