ロードバランサー(NetScaler VPX)で既存の証明書・鍵ファイルと同名の証明書・鍵ファイルを追加する場合、再起動後に問題が発生する可能性がある事象について

ロードバランサー

2021年3月4日 (2022年12月15日:更新)

事象・問題概要


ロードバランサー(NetScaler VPX)メニューにおいて、証明書とキーのペアを追加するときに、既存の証明書・鍵ファイルと同名の証明書・鍵ファイルを追加すると、元の証明書・鍵ファイルが警告なしに上書きされます。元の証明書・鍵ファイルが使用できなくなったため、再起動後に以下の問題により事象が発生する可能性があります。

本事象に関するメーカーの公表情報は以下の通りです。
URL : https://docs.citrix.com/ja-jp/citrix-adc/current-release/ssl/ssl-certificates.html
※ページ下部の「重要」を参照

 

問題

1.利用中の証明書・鍵ファイルを上書きできてしまい、かつ利用中の証明書・鍵データが再起動するまで更新されず古い証明書・鍵データを使い続けてしまうこと
2.利用中の証明書・鍵ファイルを上書きした状態で既存と新規の証明書・鍵設定を重複して設定できてしまうこと

問題1.2が発生するケース

証明書の登録 (https://ecl.ntt.com/documents/tutorials/rsts/LoadBalancer/loadbalancing/ssl_offload_and_acceleration1.html) において下記を実施した場合
・既存にはない「Certificate-Key Pair Name」を設定
・既存の証明書・鍵設定で登録したファイルと同名で、かつデータが異なる証明書ファイル・鍵ファイルを指定

事象

1.問題1の状態で、再起動前と後で読み込まれる証明書・鍵ファイルが異なる可能性があります。再起動するまで新しい証明書・鍵ファイルが読み込まれないためです。
2.問題2の状態で、再起動することにより、問題2で設定した既存と新規の証明書・鍵設定のどちらか片方の設定が消失し、それに関連する証明書設定も消失する可能性があります。

 

対象バージョン


12.1-52.15
12.1-55.18
12.0-53.13
11.0-67.12
10.5-57.7

 

対処方法


新規に証明書を登録する場合

既にロードバランサー (NetScaler VPX)に存在する証明書と異なる内容で同名の証明書ファイル・鍵ファイルを登録しないようお願い致します。別名の証明書ファイル・鍵ファイルを登録してください。なお、既にロードバランサー (NetScaler VPX)に存在する証明書と同じデータで同名の証明書ファイル・鍵ファイルの登録は仕様上できません。

既存の証明書を更新する場合

以下の手順に従って更新してください。

「ロードバランサーのSSL証明書の更新手順を教えてください。」

本事象が発生する可能性がある設定状態の確認

以下の手順に従って実施ください。

CLIを利用する場合

1.以下コマンドを実行
>show run

2. “add ssl certKey”行にて -cert 及び -key の項目で設定しているファイル名が、複数の”add ssl certKey”行で重複して設定されていた場合、本事象が発生する可能性があります。
例)
add ssl certkey cert001 -cert a.cert
add ssl certkey cert002 -cert a.cert

3.2で重複する設定を確認した場合、現時点での設定を保存いただいた上で、対象の証明書が関連する設定(Virtual Serverの証明書設定や中間証明書とのLink)を全て一度削除いただき、別名の証明書ファイル・鍵ファイルにて再度設定し直すようお願いいたします。
参考: https://ecl.ntt.com/documents/tutorials/rsts/LoadBalancer/loadbalancing/ssl_offload_and_acceleration3.html
https://ecl.ntt.com/documents/tutorials/rsts/LoadBalancer/loadbalancing/ssl_offload_and_acceleration2.html

GUIを利用する場合

1.以下の通り遷移
System>Diagnostics>Utilities>Command Line Interface

2.以降、CLIを利用する場合と同一手順(1-3)に従って確認してください。