【F5】BIG-IPのCLI設定方法【自己証明書の削除】
bigipのCLIで自己証明書の削除方法をまとめていきます。
GUIで設定することもできるのですが、ぽちぽちするのが億劫なのでCLIで設定します。
自己証明書の作成方法は2種類ありましたが、削除方法は一緒になります。
自己証明書の作成方法は↓で紹介しております。

- 挙動はbigipのバージョンによって差異がありますので、その点は公式のドキュメントを参考にしてください
- 設定内容は架空であるため、都度ご自身で読み替えてください
BIG-IPのCLIで自己証明書を削除する流れ
- 削除するClient SSL profileが利用されていないことを確認する
- Client SSL Profile を削除する
- 自己証明書を削除する
- 秘密鍵を削除する
- 設定の保存
- 設定の同期(冗長の場合)
削除するClient SSL profileが利用されていないことを確認する
tmsh show /ltm virtual profiles | egrep 'Ltm::Virtual Server:| Ltm::ClientSSL Profile:'
削除するClient SSL profileがVSに紐づいていないことを確認します。
K20522219: Mapping SSL certificates to virtual servers from the BIG-IP command line
tmsh list ltm virtual one-line | grep <SSLプロファイル名>
また、↑のように全てのVirtual Serverから該当のSSLプロファイルが適用されているVirtual Serverを絞り込むことでも確認できます。
Client SSL Profile を削除する
tmsh list ltm profile client-ssl test_ssl_profile
tmsh delete ltm profile client-ssl test_ssl_profile
tmsh list ltm profile client-ssl test_ssl_profile
「test_ssl_profile」という自己証明書目的で作成したSSL profileを削除します。
自己証明書を削除する
tmsh list sys crypto cert f5test.com_self-signed_2020.crt
tmsh delete sys crypto cert f5test.com_self-signed_2020.crt
tmsh list sys crypto cert f5test.com_self-signed_2020.crt
「f5test.com_self-signed_2020.crt」という自己証明書を削除します。
※この時点で、OpenSSHで作成した場合に作成されるディレクトリ/sys/file/ssl-crt/配下の「f5test.com_self-signed_2020.crt」ファイルも削除されます。つまり、sys crypto cert配下で消せば、/sys/file/ssl-crt/配下の設定も同時に削除されます。
K15462: Managing SSL certificates for BIG-IP systems using tmsh
秘密鍵を削除する
tmsh list sys crypto key f5test.com_self-signed_2020.key
tmsh delete sys crypto key f5test.com_self-signed_2020.key
tmsh list sys crypto key f5test.com_self-signed_2020.key
「f5test.com_self-signed_2020.key」という秘密鍵を削除します。
※この時点で、OpenSSHで作成した場合に作成されるディレクトリ/sys/file/ssl-key/配下の「f5test.com_self-signed_2020.key」ファイルも削除されます。つまり、sys crypto key配下で消せば、/sys/file/ssl-key/配下の設定も同時に削除されます。
K15462: Managing SSL certificates for BIG-IP systems using tmsh
設定の保存
tmsh save sys config
設定の同期
tmsh run cm config-sync to-group デバイスグループ名
冗長構成であれば、同期も忘れずに行う。
まとめ
- 作業前には必ずSSL ProfileがVirtual Serverに紐づいていないことから確認!
- bigipで自己証明書の削除はディレクトリ名「sys crypto cert」、「sys crypto key」で削除すれば完了となる!
- Opensslで作成してインストールした際に格納したディレクトリ名「sys file ssl-key」、「sys file ssl-cert」も↑の削除作業で同時に削除される!
以上!