うまいぼうぶろぐ

linuxとhttpdとperlのメモ

big-ip virtualserverに適用しているdefaultのSNIを入れ替える

やや面倒?

clientssl-foo: foo.example.com sni default
clientssl-bar: bar.example.com

これを
virtualserver example.com-httpsに適用している状態で
bar.example.com をsniのdefaultにしたい

前提:
virtualserverに設定する段階では
複数のclient sslprofileを適用する場合は
どれかひとつにだけsni defaultを適用している状態でしか設定できない

SSLのエラーが出ても良い場合

virtualserverから全部clientssl profile外す

  • clientssl-foo のsni defaultを外す
  • clientssl-bar にsni defaultを設定する

SSLのエラーを出さずに入れ替える

設定するときは最低1つのsni のprofileが必要だけど、
なぜかその状態から外すことはできるのでこれを利用する。

clientssl-foo2: foo.example.com を作成
(clientssl-fooと利用する証明書は同じでsni defaultだけ外す)

clientssl-bar2: bar.example.com を作成 sni default
(clientssl-barと利用する証明書は同じでsni defaultを設定)

virtualserver の設定で
clientssl-foo
clientssl-bar
を外して、代わりに
clientssl-foo2
clientssl-bar2
を追加して反映