今回は、プライベートCAサーバーとownCloudの運用サーバーを異なるサーバーで運用する場合の例です。自社運用するオンラインストレージへの認証をSSLクライアント証明書により、手軽に強化することが出来ます。
SSLクライアント証明書の発行、リバースプロキシの設定、ownCloudやオブジェクトストレージまでを自社管理で運用できるためセキュアな運用が可能です.
オブジェクトストレージには、Webブラウザによるhttps及びSSLクライアント認証経由でのアクセスとなります。
構成としては
- Powered BLUE プライベートCA (CA &リバースプロキシを運用)
- ownCloud (別サーバー)
- Amazon AWS S3 (オブジェクトストレージを利用)
です。
Powered BLUE プライベートCAでSSLクライアント認証を行います。認証が有効の場合には、リバースプロキシにより別サーバーで運用のownCloudへリダイレクトを行います。さらにownCloudから外部ストレージとして、オブジェクトストレージ (Amazon S3)を利用します。
この構成では、オンラインストレージ(ownCloud) とオブジェクトストレージ(Amazon S3)へのアクセスをSSLクライアント証明書(SSLクライアント認証)とID&パスワードによる2要素認証を利用しての運用が出来ます。
プライベートCAとownCloudを1台のサーバー(同一サーバー)で運用の場合には
を参照ください
Powered BLUEのセットアップ
Powered BLUE プライベートCA & リバースプロキシは、どの場所で運用しても構いません
自社の仮想環境で運用の場合には、
- VMware/Hyper-Vなどへ仮想アプライアンスイメージ
をインポーします
Amazon AWS上でPowered BLUE プライベートCAを運用する場合には、
Cloudnをはじめ、Cloudstack上でPowered BLUE プライベートCAを運用する場合には、
を参照してください。
プライベートCAの設定
仮想サイトで、Powered BLUEのプライベートCA機能を有効にして、この仮想サイトの「CA証明書の新規作成」をします。
SSLクライアント証明書発行
Powered BLUE プライベートCAで、この仮想サイトのSSLクライアント証明書を発行します
SSLクライアント証明書のダウンロード
SSLクライアント証明書は、利用するブラウザにインストールします
SSLクライアント認証の有効化
[クライアント認証を有効にする] ことで、このPowered BLUE の仮想サイトへは、有効なSSLクライアント証明書がインストールされた ブラウザのみ、SSLでownCloudのサーバーへアクセスが出来ます。
例 https://PrivateCA の仮想サイト/xx
リバースプロキシ設定&有効化
プライベート認証局のこの仮想サイトにアクセスしたクライアントを、SSLクライアント認証後にリバースプロキシで指定したownCloudのサーバーへリダイレクトさせます。
例 https://PrivateCAのサイト/ownCloud/ -> http://www.zyx.co.jp/ownCloud/
SSLクライアント証明書のブラウザへのインストール(Firefoxの場合)
「証明書を表示」をクリック
「あなたの証明書」のインポートをクリック
SSLクライアント証明のパスワード入れてインストールします
正常にインポート時の表示
証明書マネージャーにインストールしたクライアント証明書が表示されます
ニ要素認証での運用
- SSLクライアント証明書による認証
- ID/パスワードによる認証
ownCloudへアクセス
ownCloudのサーバーは、適宜ご用意ください
- https://xxx.yyy.zzz.uuu/owncloud
OKボタンを押すと、SSLクライアント認証後にownCloudのアクセス画面が表示されます。
有効なSSLクライアント証明書の無い場合
アクセスが拒否されます
ownCloudのログイン画面
SSLクライアント証明書が有効な場合、ログイン画面が表示されます
オブジェクトストレージの設定
ownCloud からAmazon AWSのサービスの一つであるS3のオブジェクトストレージを利用する方法は以下のようになります。ownCloudの稼働場所は、どこでも構いません。
構成例
- Object Storage Amazon S3
Amazon S3の設定
アマゾンマネージメントコントールからS3を選択します
「Create Backet」でownCloudにアサインするバケットを作成します
例 バケット名 amazon-object-storage1
Amazon AWSのアクセスキーIDとシークレットキーIDを入手します
- アクセスキーIDが無い場合には、新規にアクセスキーIDを作成します。
- アクセスキーIDとペアのシークレットキーIDは、作成時のみ表示されます。
- シークレットキーIDを紛失の場合には、アクセスキーIDから新規に作成する必要があります。
- キーは2ペアまでしか作成できません。
- 3ペア目以降を作成の場合には、以前に発行済のキーペアを削除してから発行をします。
ownCloud の「External Storage support」を有効にします
Amazon S3互換のストレージを追加します
- フォルダ名 (例 Amazon-S3 )
- アクセスキーID
- シークレットキーID
- パケット名 (例 amazon-object-storage1 )
- SSLアクセスの設定 (例 有効 )
- Amazon S3へアクセス許可をするユーザー ( 例 ocroot )
設定が反映されて接続が有効になると、フォルダ名の左側の〇がグリーンに変わります
ownCloudのGUIでの表示
https://xyz.mubit.com/owncloud へアクセス
ownCloudのGUIからはAmazonS3のオブジェクト・ストレージのフォルダー(Amazon-S3)が表示されています
デモサーバー
Powered BLUEの デモサーバー
基本操作 / リバースプロキシ / SSLクライアント認証 などのデモが出来ます
ワンタイムパスワード認証
Webのサイトへのアクセスに際して、OTP / ワンタイムパスワード対応のWebサイトの構築・運用例です。
多要素認証
ワンタイムパスワード認証&SSLクライアント認証の併用時のWebサイトの構築・運用例です。多要素認証でさらに高い安全性を確保したい場合に有効です
終わりに
ワンタイムパスワード認証やSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebサイトへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。