【F5】BIG-IPの自己証明書の削除方法【CLI】
bigipのCLIで自己証明書の削除方法をまとめていきます。自己証明書の作成方法は2種類ありましたが、削除方法は一緒になります。
自己証明書の作成方法は別記事で紹介しております。
BIG-IPのCLIで自己証明書を削除する流れ
- 削除するClient SSL profileが利用されていないことを確認する
- Client SSL Profile を削除する
- 自己証明書を削除する
- 秘密鍵を削除する
- 設定の保存
- 設定の同期(冗長の場合)
削除するClient SSL profileが利用されていないことを確認する
tmsh show /ltm virtual profiles | egrep 'Ltm::Virtual Server:| Ltm::ClientSSL Profile:'
tmsh list ltm virtual one-line | grep <SSLプロファイル名>削除するClient SSL profileがVSに紐づいていないことを確認します。また、2行目のコマンドで全てのVirtual Serverから該当のSSLプロファイルが適用されているVirtual Serverを絞り込めます。
K20522219: Mapping SSL certificates to virtual servers from the BIG-IP command line
Client SSL Profile を削除する
tmsh list ltm profile client-ssl test_ssl_profile
tmsh delete ltm profile client-ssl test_ssl_profile
tmsh list ltm profile client-ssl test_ssl_profile「test_ssl_profile」という自己証明書目的で作成したSSL profileを削除します。
自己証明書を削除する
tmsh list sys crypto cert f5test.com_self-signed_2020.crt
tmsh delete sys crypto cert f5test.com_self-signed_2020.crt
tmsh list sys crypto cert f5test.com_self-signed_2020.crt「f5test.com_self-signed_2020.crt」という自己証明書を削除します。この時点で、OpenSSHで作成した場合に作成されるディレクトリ/sys/file/ssl-crt/配下の「f5test.com_self-signed_2020.crt」ファイルも削除されます。つまり、sys crypto cert配下で消せば、/sys/file/ssl-crt/配下の設定も同時に削除されます。
K15462: Managing SSL certificates for BIG-IP systems using tmsh
秘密鍵を削除する
tmsh list sys crypto key f5test.com_self-signed_2020.key
tmsh delete sys crypto key f5test.com_self-signed_2020.key
tmsh list sys crypto key f5test.com_self-signed_2020.key「f5test.com_self-signed_2020.key」という秘密鍵を削除します。この時点で、OpenSSHで作成した場合に作成されるディレクトリ/sys/file/ssl-key/配下の「f5test.com_self-signed_2020.key」ファイルも削除されます。つまり、sys crypto key配下で消せば、/sys/file/ssl-key/配下の設定も同時に削除されます。
K15462: Managing SSL certificates for BIG-IP systems using tmsh
設定の保存
tmsh save sys config設定の同期
tmsh run cm config-sync to-group デバイスグループ名冗長構成であれば、同期も忘れずに行う。
まとめ
最後にまとめになります!
- 作業前に必ずSSL ProfileがVirtual Serverに紐づいていないことを確認
- bigipで自己証明書の削除はディレクトリ名「sys crypto cert」と「sys crypto key」を削除すれば完了
以上!