富士通の運用する OpenStack ベースの FUJITSU Hybrid IT Service FJcloud-O で構築運用上にプライベートCAを構築して、Webページへのアクセス時にSSLクライアント認証をします。また既存のWebサービスへの認証には、リバースプロキシ/Reverse Proxy 経由で認証&リダイレクトでの運用を行ないます。一般的なOpenStackで同様の構成でのPrivate CAの運用も可能です。
例 Web / WordPress / Roundcube / Mattermost などのWebページへのSSLアクセス認証
Private CA 機能の他に、SSLクライアント認証やリバースプロキシ-機能を持つPowered BLUE Private CA を利用します。サーバーの設定は全てGUIからの操作に対応しており、証明書の発行、失効なども簡単に自社管理での運用が出来ます。Let’s Encryptにも対応しており、WebサイトのSSLサーバー証明書の自動更新での運用も可能です。
- プライベート CA (プライベート認証局)
- SSLクライアント認証
- Mail / Web / DNS サーバー
- Webサイト
- WordPress
- Mattermost / ビジネスチャット(拡張機能)
- Roundcube / Webmail
- Let’s Encrypt 対応
- リバースプロキシー
などを1台のPowered BLUE Private CAで同時に運用出来ます。
運用例
仮想サイト A.co.jp で以下のWeb サービスを同時に運用。既存環境にも簡単に導入が出来るため、働き方改革によるリモートワークやテレワークの実現をサポート。
- Let’s Encrypt でサイトのSSLサーバー証明書を利用
- WordPressで一般向けWebを運用 (SSLクライアント認証なし)
- WordPressで社員用Webを複数運用 (SSLクライアント認証)
- Mattermost を運用 (SSLクライアント認証)
- Roundcube を運用 (SSLクライアント認証)
- リバースプロキシを運用 (SSLクライアント認証)
など
CA/リバースプロキシを分離での運用にも対応
別サーバーで運用のCAとの連携も出来ます
「Fujitsu Cloud Service for OSS (4OSS)」の特徴は
- OpenStack準拠
- Ansible/Horizonからコントロール可能
- 単一ゾーンでのSLA 99.99%
- アンチ・アフィニティをサポート
- オブジェクトストレージからのダウンロードにも費用がかからない
- 回線費用は無償(ベストエフォート)
などです。
FUJITSU Hybrid IT Service FJcloud-O上へのPowered BLUEのセットアップは以下も参照のこと
「Fujitsu Cloud Service for OSS(4OSS)」上にCentOS 7のインスタンス構築設定
「FUJITSU Hybrid IT Service FJcloud-O」上へのPowered BLUEのセットアップ
Powered BLUE Private CAの設定
サーバー起動後に、GUIでウイザードを実行します。GUIへのアクセスポートは http 81 / 444 番です firewallには TCP 81/444番 を通過させる設定が必要です
サーバーへのアクセス 例 http://54.65.17.7:444
管理サーバー名などを入力します
DNS などはEnterprise Cloudのデフォルトで設定されたものでも構いません。自社で独自に構築するのであれば、適宜指定します。
サーバーのIP/Gatewayなどは、変更せずにこのまま利用します。
adminのパスワードを入力します。
Languageに日本語を選択すると、GUIの表示は日本語となります。
Time-Zoneなどを適宜選択します。
ウイザードの終了後に、サーバーへ再ログインします。
管理サイト サーバー名等を設定します。
NTPサーバーを指定します
プライベートCAの構築
プライベートCAを運用する仮想サイトを設定します
CA証明書の作成
- CA証明書の有効期限を設定
- CAのパスワードを設定
以上でCAの構築は終了
SSLクライアント証明書の発行
プライベートCAでSSLクライアント証明書を発行。クライアント証明書は、会社や部門全体での一括発行や、1ユーザーごとの個別の発行が出来ます。
SSLクライアント証明書を個別発行の場合(1枚発行の場合)
例 suzuki@mubit.com ユーザーのクライアント証明書を作成
有効期限などを指定して発行します
有効期間やポリシーを設定して、「部門や全社員の一括発行」なども対応しています。
SSLクライアント証明書をダウンロードします
ユーザーが個別に、発行されたSSLクライアント証明書をURL通知でダウンロードさせることも出来ます。
SSLクライアント証明書のブラウザへのインストール(IEの場合)
ツール - インターネットオプション - コンテンツ - 証明書 を選択
個人のタグを選択
個人の証明書ストアへインポートします
SSLクライアント認証の設定
Private CAとWebサーバーを同一の仮想サイトで運用の場合
- 例 ca-test.mubit.jp で運用の場合
SSLサーバー証明書の登録
- Webサーバーを運用するサイトへSSLのサーバー証明書を登録します
- 「自己署名デジタル証明書の作成」 または 「署名リクエストの作成」または Let’s Encrypt対応 で作成します。
自己署名デジタル証明書の作成の場合 (プライベートSSLサーバー証明書の場合)
- 「自己署名デジタル証明書の作成」から必要事項を記入して、SSLを有効にします
- 自己署名によるSSLのサーバー証明書が登録されます。
署名リクエスト / CSR で作成の場合 (パブリックSSLサーバー証明書の場合)
公的なSSLサーバー証明書を登録の場合には、ブラウザへの警告メッセージ
「このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません」
を抑制することが出来ます
SSLのサーバー証明書は
- ドメイン認証証明書(DV:Domain Validation)
- 組織認証証明書(OV:Organization Validation)
- EV証明書(EV:Extended Validation)
が登録出来ます
- 必要事項を記入して、 「署名リクエストの作成」 ボタンを押します
SSLサーバー証明書のインポート公的機関で発行された、サーバー証明書を 「インポート」 します
- 中間証明書のインポートにも対応しています
- Let’s Encrypt対応(Let’s EncryptのSSLサーバー証明書も組み 込めます
- SNI対応 (IPアドレス1個で複数のWebサイトのSSL化)
SSLクライアント認証を有効
https://ca-test.mubit.jp へアクセス時のSSLサイトのクライアント認証を有効にします
Web Page https://ca-test.mubit.jp へのアクセス
SSLクライアント認証が有効の場合 / Web ページへアクセスが出来ます
グループウエアへのアクセス例
SSLクライアント証明書が有効の場合
SSLクライアント認証が無効の場合
Private CAとWebサーバーを異なるサイトで運用の場合
Webサービス用の仮想サイトを構築します
例 test-web.mubit.jp
test-web.mubi.jp サイトからPrivate-CA の運用サイト http://ca-test.mubit,.jp とのcrl (失効リスト)の同期設定を行ないます
Webサーバーを運用するサイトには、SSLのサーバー証明書をインストールします
リバースプロキシ連携の場合
別サーバーで運用中のWebサーバーへのアクセス時にSSLクライアント認証
desknets / サイボウズ へのリバースプロキシの設定例
既存で運用中のWebサーバー(デスクネッツ/ サイボウズ)側の変更は不要です
既存のWebサービスとの連携
リバースプロキシによるSSLクライアント認証と既存のWebサービスとの連携の例 /多要素認証
- MosP勤怠管理/MosP人事管理/MosP給与計算
- NTTデータ イントラマートワークフロー
- エイトレッド X-point
- NIコラボスマート
- 楽々Workflow II
- eValue NS
- サイボウズ
- デスクネッツ
- Active! mail
- Powere egg
- RoundCube
- Aipo
- WaWaOffice
- Seagull Office
- OpenWebMail
- Zabbix
- Proself
- FileBlog
- Mattermost
リバースプロキシ設定&有効化
Private-CA を運用のサイトでリバースプロキシも運用します
プライベート認証局のこの仮想サイトにアクセスしたクライアントを、SSLクライアント認証後にリバースプロキシで指定したサーバーへリダイレクトさせます。
例 https://PrivateCAのサイト/demo/ -> http://www.zyx.co.jp/demo/
SSLクライアント認証でCA&デスクネッツへのアクセス - 承認された場合
有効なSSLクライアント証明書がインストールされたブラウザで、初回にアクセス時のブラウザでの表示例 (Firefox)
https://ca-test.mubit.jp/dneo/dneo.cgi
SSLクライアント認証後のMosP勤怠管理のログイン画面
MosPへログイン後の画面
SSLクライアント認証後のdesknet’s NEOのログイン画面
2要素認証 — デスクネッツネオの認証画面
desknet’s NEOへログイン後の画面
SSLクライアント認証後のサイボウズのログイン画面
2要素認証 — サイボウズの認証画面
サイボウズへログイン後の画面
SSLクライアント認証 / NTTデータイントラマートへのログイン
イントラマートへログイン後の画面
SSLクライアント認証 / X-pointのへのログイン
X-pointのへのログイン後の画面
SSLクライアント認証 / Active Mail のへのログイン
Active Mailへログイン後の画面
SSLクライアント認証 / 楽々ワークフローII へのログイン
楽々ワークフローII へのログイン後の画面
SSLクライアント認証 / eValue NSへのログイン
eValue NS へのログイン後の画面
SSLクライアント認証 / FileBlogへのログイン
FileBlog へのログイン後の画面
SSLクライアント認証 / roundcubeのへのログイン
roundcube へのログイン後の画面
SSLクライアント認証 / ownCloudへのログイン
ownCloud へのログイン後の画面
SSLクライアント認証 /MosP人事管理へのログイン
MosP人事管理 へのログイン後の画面
SSLクライアント認証 /MosP給与計算へのログイン
MosP給与計算へのログイン後の画面
Mattermostへのログイン
LB / ロードバランサ / SSLクライアント認証 / リバースプロキシ-連携
Private CAとSSL VPNでのSSLクライアント認証連携
SSL-VPNでSSLクライアント認証後に指定のサーバーへアクセス
SSL VPNでのSSLクライアント認証例
SSLクライアント認証を行なった上で、RDPなどでのアクセスが出来ます
SSLクライアント認証時のアクセスコントロール
有効なSSLクライアント証明書を有している場合でも、Webサイト毎に各種のアクセスコントロールが設定出来ます
失効リスト(CRL)に関わらず、ただちにWebへのアクセス禁止を設定できます
SSLクライアント証明書を失効させることなく、Webへのアクセスを禁止できます
- 利用するアプリでのアクセス制限
- 組織や部門でのアクセス制限
- 曜日や時間帯でのアクセス制限
- 特定ユーザーでのアクセス制限
- 端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止
Powered BLUE Private CA へのフリープラグインなどのインストール
ワンタイムパスワード認証&SSLクライアント認証の併用
SSLクライアント認証とワンタイムパスワード認証の併用(多要素認証)及びリバースプロキシ機能までも1台のPowered BLUEサーバー上での運用も出来ます。 医療機関など、高度な安全性を求められる場面などに対応します 。
Powered BLUE ワンタイムパスワード認証アプライアンス
■アクセス手順
1)ワンタイムパスワードの表示
2)SSLクライアント認証後にWebサイトにアクセス
3)ID/パスワード/ワンタイムパスワード入力
4)ワンタイムパスワード認証の成功後 Webサイトの表示
*「OTP+任意パスワード」認証にも対応
デモサーバー
Powered BLUEの デモサーバー