Webメール製品のトランスウエア社のActive! mailへSSLクライアント認証を利用してアクセスさせる場合の構成例です。
ユーザーアカウントやパスワードの漏えいなどによる、「なりすまし」ログインを防ぐことが出来ます。Powered BLUE プライベートCAを利用してクライアント証明書を発行します。
(アクティブメールの運用サーバーとプライベート認証局を異なるサーバーで運用の場合)
Powered BLUE プライベート CA (認証局) を利用します
- インターネットサーバー機能 (Powered BLUE プライベートCA )
- プライベートCA機能 (Powered BLUE プライベートCA )
- クライアント証明書発行・失効・更新 (Powered BLUE プライベートCA )
- SSLクライアント認証 (Powered BLUE プライベートCA )
- リバースプロキシ (Powered BLUE プライベートCA )
- Active mail (別サーバーで運用 もしくは 既存サーバーで運用 )
などの機能をPowered BLUE Private CA とActive mailの運用サーバーをそれぞれ異なるサーバーで運用する場合の構成例です。
Powered BLUEのインターネットサーバー機能&リバースプロキシを利用します。既存で運用中のActive mailへのSSLクライアント認証が簡単に構築出来ます。
- 基本的には、Active! Mail側の設定変更は必要ありません
有効なSSLクライアント証明書のないユーザーからは、アクセスできないため、ブルートフォースアタック(パスワード総当たり攻撃)などの、「なりすまし」による不正アクセスを防止します。
リバースプロキシでの運用構成
Powered BLUE プライベートCAとリバースプロキシ機能を利用して、クライアント証明書を利用して、別サーバーで運用中のアクティブメールへのクライアント認証をさせることが出来ます。
プライベートCAは、運用者側の管理での独自運用のため
- SSLクライアント証明書の発行・失効・更新などの管理
- リバースプロキシの接続先Webサーバー指定 (複数のWeb接続先の指定も対応)
- プライベート認証局・リバースプロキシは、任意の場所での運用が出来ます
などを、運用者側のポリシーに即して運用が出来ます。
リバースプロキシで運用の場合
- 既存のActive! mail側の設定変更は不要です
- 社内LANからは、従来どうり http でActive! mail へアクセス
- 社外からは、SSLクライアント認証・リバースプロキシ経由で Active! mailへアクセス
などの運用が出来ます
* リバースプロキシ機能を使用しない場合には、CRLを配布して の参照やActive !Mail 稼働のWebサーバーへのCRL組込みでの運用なども可能です。ロードバランサー経由での運用も出来ます。
SSLのサーバー証明書の登録
- 「自己署名デジタル証明書の作成」 または 「署名リクエストの作成」 で作成します
パブリックSSLサーバー証明書の場合
公的なサーバー証明書を利用の場合には、ブラウザへの警告メッセージ
「このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません」
を抑制することが出来ます
- 必要事項を記入して、 CSR 作成の「署名リクエストの作成」 ボタンを押します
- 作成された 「署名リクエスト」 ファイルを保存
- この 「署名リクエスト」 ファイル signig-request.txt を、公的なSSLサーバー証明書の発行機関へ送付
- 公的機関で発行された、サーバー証明書を 「インポート」 します
- 中間証明書のインポートにも対応しています
プライベートCAの設定
仮想サイトで、Powered BLUEのプライベートCA機能を有効にして、この仮想サイトの「CA証明書の新規作成」をします。
SSLクライアント証明書発行
Powered BLUE プライベートCAで、この仮想サイトのSSLクライアント証明書を発行します。クライアント証明書を全社一括での発行なども出来ます。
SSLクライアント証明書のダウンロード
SSLクライアント証明書は、利用するブラウザにインストールします。ユーザーごとに個別にダウンロードさせたり、管理者での一括ダウンロードが出来ます。
SSLクライアント認証の有効化
[クライアント認証を有効にする] ことで、このPowered BLUE の仮想サイトへは、有効なSSLクライアント証明書がインストールされた ブラウザのみ、SSLでActive! mailのサイトへアクセスが出来ます。
例 https://PrivateCA の仮想サイト/xx
リバースプロキシ設定&有効化
プライベート認証局のこの仮想サイトにアクセスしたクライアントを、SSLクライアント認証後にリバースプロキシで指定したサーバーへリダイレクトさせます。
例 https://PrivateCAのサイト/demo/ -> http://www.zyx.co.jp/demo/
SSLクライアント認証でCA&Active mailへのアクセス - 承認された場合
有効なSSLクライアント証明書がインストールされたブラウザで、アクセス時のブラウザでの表示例(Firefox)
https://192.168.10.67/am_bin/amlogin
または、dnsの設定がされていれば、サイト名でのアクセス
https://activegate.mubit.com/am_bin/amlogin
SSLクライアント認証 - 承認されない場合
有効なSSLクライアント証明書が無いクライアントからのアクセスの場合 ( IPhone )
Active mailのログイン画面
Powered BLUE プライベートCAは VMware / Hyper-V に対応の仮想アプライアンスやaws にも対応しています。
サイボウズ・cybozuへのSSLクライアント認証(2要素認証)例
デスクネッツ・desknets’sへのSSLクライアント認証(2要素認証)例
アイポ・AIpoへのSSLクライアント認証(2要素認証)例
AWS上で Powered BLUE Private CA 運用したい場合には
デモサーバー
Powered BLUEの デモサーバー
基本操作 / リバースプロキシ / SSLクライアント認証 などのデモが出来ます
ワンタイムパスワード認証
Active! mail のWebのサイトへのアクセスに際して、OTP / ワンタイムパスワード対応のWebサイトの構築・運用例です。
多要素認証
ワンタイムパスワード認証&SSLクライアント認証の併用時のWebサイトの構築・運用例です。多要素認証でさらに高い安全性を確保したい場合に有効です
終わりに
ワンタイムパスワード認証やSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebサイトへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。