BIG-IP

【F5】BIG-IPのCLI設定方法【自己証明書の削除】

【F5】BIG-IPのCLI設定方法【自己証明書の削除】

bigipのCLIで自己証明書の削除方法をまとめていきます。
GUIで設定することもできるのですが、ぽちぽちするのが億劫なのでCLIで設定します。

自己証明書の作成方法は2種類ありましたが、削除方法は一緒になります。

自己証明書の作成方法は↓で紹介しております。

【F5】BIG-IPのCLI設定方法【自己証明書の作成】F5 BIG-IPのCLIコマンドでの設定方法をまとめています。bigipのCLIで自己証明書を作成する方法は2つあります。1つはbigipのコマンドで作成することができます。もう1つはLinuxのOpenSSHのコマンドで作成することができます。...
  • 挙動はbigipのバージョンによって差異がありますので、その点は公式のドキュメントを参考にしてください
  • 設定内容は架空であるため、都度ご自身で読み替えてください

BIG-IPのCLIで自己証明書を削除する流れ

削除するClient SSL profileが利用されていないことを確認する

tmsh show /ltm virtual profiles | egrep 'Ltm::Virtual Server:| Ltm::ClientSSL Profile:'

削除するClient SSL profileがVSに紐づいていないことを確認します。

K20522219: Mapping SSL certificates to virtual servers from the BIG-IP command line

Client SSL Profile を削除する

tmsh list ltm profile client-ssl test_ssl_profile

tmsh delete ltm profile client-ssl test_ssl_profile

tmsh list ltm profile client-ssl test_ssl_profile

「test_ssl_profile」という自己証明書目的で作成したSSL profileを削除します。

自己証明書を削除する

tmsh list sys crypto cert f5test.com_self-signed_2020.crt

tmsh delete sys crypto cert f5test.com_self-signed_2020.crt

tmsh list sys crypto cert f5test.com_self-signed_2020.crt

「f5test.com_self-signed_2020.crt」という自己証明書を削除します。
※この時点で、OpenSSHで作成した場合に作成されるディレクトリ/sys/file/ssl-crt/配下の「f5test.com_self-signed_2020.crt」ファイルも削除されます。つまり、sys crypto cert配下で消せば、/sys/file/ssl-crt/配下の設定も同時に削除されます。

K15462: Managing SSL certificates for BIG-IP systems using tmsh

秘密鍵を削除する

tmsh list sys crypto key f5test.com_self-signed_2020.key

tmsh delete sys crypto key f5test.com_self-signed_2020.key

tmsh list sys crypto key f5test.com_self-signed_2020.key

「f5test.com_self-signed_2020.key」という秘密鍵を削除します。
※この時点で、OpenSSHで作成した場合に作成されるディレクトリ/sys/file/ssl-key/配下の「f5test.com_self-signed_2020.key」ファイルも削除されます。つまり、sys crypto key配下で消せば、/sys/file/ssl-key/配下の設定も同時に削除されます。

K15462: Managing SSL certificates for BIG-IP systems using tmsh

設定の保存

tmsh save sys config

設定の同期

tmsh run cm config-sync to-group デバイスグループ名

冗長構成であれば、同期も忘れずに行う。

まとめ

最後にまとめになります!
  • 作業前には必ずSSL ProfileがVirtual Serverに紐づいていないことから確認!
  • bigipで自己証明書の削除はディレクトリ名「sys crypto cert」、「sys crypto key」で削除すれば完了となる!
  • OpenSSHで作成してインストールした際に格納したディレクトリ名「sys file ssl-key」、「sys file ssl-cert」も↑の削除作業で同時に削除される!

以上!

ABOUT ME
のこのこ
26歳フリーランスのネットワークエンジニア 文系第2新卒からSESに入社、2年目にフリーランスに転職 有益な資格試験の情報を主に提供していきます! ●保持資格 CCNP,LPIC level3,F5101,TOEIC820,AWSクラウドプラクティショナー ●目指す資格 ネットワークスペシャリスト,F5 201,AWSアソシエイトなど