Webサイトには、SSLクライアント認証やワンタイムパスワード認証、SAML認証、OIDC認証、FIDO2生体認証、AD認証などの各種の認証を設定することが出来ます。また認証対応のリバースプロキシとしても運用が可能です。

一般的なOpenStackで同様の構成での運用も可能です。

【FUJITSU Hybrid IT Service FJcloud-Oの特徴】

• OpenStack準拠
• 単一ゾーンでのSLA 99.99%
• アンチ・アフィニティをサポート
• 回線費用は無償（ベストエフォート）
• オブジェクトストレージからのダウンロード費用は無償
• Firewallは無償
• Ansible対応
• OpenStackの標準GUI Horizon対応

などです。

【OpenStack準拠】

FUJITSU Hybrid IT Service FJcloud-Oはアベイラビリティゾーンとして、OpenStackに準拠のjp-east3 / jp-west3 が選択出来ます。

jp-east3 / jp-west3ではansibleからの操作やOpenStack標準のGUIコンソールHorizonなどからも使用可能です。ansibleでのネットワーク構築からサーバー構築や設定までを一気通関で行なうことが出来ます。

また単一ゾーン構成でのSLA 99.99%をサポートしています。HA構成時に特定の仮想マシンが常に違うホストで実行されるアンチ・アフィニティ機能もサポート。特に支障が無ければ、アベイラビリティゾーンとして jp-east3 / jp-west3 での運用を推奨します。

【オブジェクトストレージからのダウンロードに課金されない】

FUJITSU Hybrid IT Service FJcloud-Oのネットワークの通信費用は、ベストエフォートの固定料金です。Firewallも標準で付属しており使用に際して、別途の費用は不要です。

またオブジェクトストレージのデータアップロード&ダウンロードにも費用はかかりません ( AWSや他社のクラウドサービスでは、オブジェクトストレージからのダウンロードに課金されます）。

インターネット側の回線もベストエフォートを選択することで、固定の通信費用での運用が出来ます（従量課金ではありません）。

ドル建てベースのサービスでは為替で費用が変動しますが、円での支払いで「固定料金」での運用が可能です。

【インターネットサーバー】

Powered BLUE 880 サーバーは、Mail / Web / DNS などのインターネットサーバー機能を「FUJITSU Hybrid IT Service FJcloud-O」上に構築の1台のPowered BLUE で運用することが出来ます

Powered BLUE 880 サーバー

【Powered BLUE 880 の主な機能】

Mail	Web	DNS	サービス監視	パッチ適用
SmartHost / Backuprelay DKIM / DMARC 送信ドメイン認証 SMTPへのSSL証明書登録	TLSレベル指定 SNI HSTS ACMEプロトコル / MDモジュール対応 WebへのSSL証明書登録	SPF TXT SRV	サービスの 自動再起動	パッチの 自動適用

【拡張機能】

【スペック】

「FUJITSU Hybrid IT Service FJcloud-O」環境上に RockyLinux 8.x  OSで運用する「Powered BLUE 880」アプライアンスサーバーを構築＆提供します。( RedHat 8.xも選択可能 )

【アプライアンス】

【dhcp環境】

尚Powered BLUEのインストールに際して「FUJITSU Hybrid IT Service FJcloud-O」の基盤側では、以下のrouter,network,firewall,dhcp関連の事前設定が必要です。(通常はdhcp関連の項目は設定済です）

またインストール時には

• WAN側にアクセス出来ること
• DNSはインターネット側の名前を解決出来ること
• Firewall などはポート 22 / 81 / 444 にアクセス出来ること

などが必要です。

上記の設定後に、「FUJITSU Hybrid IT Service FJcloud-O」 で インスタンスを作成します。

• サーバー名設定   　　　　　　   例　Powered BLUE 880
• サーバータイプ選択                      例　C3-1 (1vCPU / 2048MB Memory）
• パブリックイメージ選択　　　   例　RockyLinux 8.x
• HDD サイズ指定　                         例　30GB

Fujitsu Cloud Service for OSS（4OSS）上にRockyLinux 8.xのインスタンス構築設定　例

【セットアップウイザード開始】

ご利用者側では、セットアップウィザードからPowered BLUE サーバーの設定を行ないます。

http://xxx.yyy.zzz.xyz:444/

クラウド基盤のインスタンスのデフォルトの言語で表示（FJcloud-O は英語がデフォルト）

【基本設定】

• サーバー名（Host名　Domain名を指定）
• DNS (デフォルトでは、クラウド基盤からアサインされたIPが入っています）
• 管理者のパスワード
• 言語の表示切り替え設定 ( 例 Language で Japaneseを選択 ）
• タイムゾーン（日本時間を選択）

などを設定

プライマリインターフェースのIPアドレスやgatewayは、クラウド基盤側からアサインされたものを変更せずにそのまま利用します

DNSなどは適宜変更可能です。

GUI表示を英語版から日本語へ切り替えます

ウイザードの終了後に、サーバーへ再ログインします

【Powere BLUE へログイン】

admin のパスワードは、セットアップウイザードで指定したパスワードを入力します

【使用するサービスの有効化】

個別サービスの on / off を選択します

• DNS / FTP / Web / 仮想サイト機能　（デフォルトはoff）

【DNS / FTP / Web / 仮想サイト機能　（サービスの有効化 / on ）】

【SMTPサービスの設定】

• POPS / IMAPS
• 送信メールのSmarthost 2重化（ スマートリレイ / バックアップリレイ ）
• 受信メールの配送経路指定
• DKIM / DMARC / SPF （ 送信ドメイン認証 ）

【SMTPサーバーのSSL証明書】

SMTPサーバーが利用するSSLサーバー証明書を登録できます。SSL証明書としては、Public / Private などSSL証明書を登録できます。

• 電子メールサーバー専用のSSL証明書の登録機能

【サーバーの時刻の設定】

• NTPサーバーを指定 （2重）

【SELinux 設定】

【Firewall 設定】

【Webサーバーの設定】

• SNI対応
• TLSレベル選択
• ACMEプロトコル / MDモジュール対応

【DNSサービスの設定】

• プライマリDNS / セカンダリDNS
• SPF / SRV / TXTレコード

【仮想サイトの作成】

• WebサイトへのSSLサーバー証明書登録（Public / Private / Let`s Encrypt )

【Webサイトの認証】

作成したWebサイトへのアクセスに、各種のWeb認証を設定できます

一般的なWebコンテンツのWebサイト		WordPressのWebサイト

• Basic認証
• ワンタイムパスワード認証
• SSLクライアント認証
• SAML認証
• OIDC認証
• FID02生体認証
• AD認証

複数のWeb認証を組み合わせて、多要素認証での運用にも対応

【認証対応のリバースプロキシ】

各種の認証に対応のリバースプロキシとしての運用に対応しています

• Basic認証
• ワンタイムパスワード認証
• SSLクライアント認証
• SAML認証
• OIDC認証
• FID02生体認証
• AD認証

【2nd Ethernet】

サービスポートの Ethernet / eth0 と管理ポートの Ethernet / eth1 を分離する運用も可能です。

• 2nd EthernetにIPをアサイン

• 2nd Ethernetに管理画面アクセス用のFirewallを設定

【パッチのアップデート】

• 製品やOSの最新パッチを適用

【ひとり情シス対応】

• サーバーの自己監視やサービスの自動再起動機能
• パッチのスケジュールアップデート機能
• 管理者への通知機能

【セキュリティ監査対応】

セキュリティのレベルを保持するために、管理GUIから以下のパラメーターなどを設定・調整します

• 最新パッチの適用
• 必要最小限のサービスのみ有効
• 暗号化のサービスの選択（例　imap ⇒ imaps  /  telnet ⇒ ssh & 証明書 )
• TLSレベルの選択
• Firewall調整
• SELinux調整
• 管理画面へのアクセス制限（アクセス元IP制限や2nd Ethernetの利用）
• プログラムバージョンの表示抑制
• 一般ユーザー権限の制限
• Web認証（多要素認証化 / SSLクライアント認証 / ワンタイムパスワード認証）
• ログの取得・保存・監査

【ログの長期保存やトラップ（オプション）】

syslog サーバーとしても運用が出来ます

• シスログ送信・中継・受信の３モードでの同時運用に対応
• 拠点間のログの安全な送受信
• port指定に対応 ( UDP / TCP / RELP / TLS )
• TLS認証に対応
• 送信キューに対応

• 複数サーバーのログ受信および保存

ログの保存期間 (設定例）

• 受信ログは毎日ローテーション（365日ｘ5年=1825回）を行い、保存期間は5年

指定キーワードでのトラップ&管理者へ通知

• 　アラートには任意のキーワードでトラップを設定
• 　トラップが連続した場合でも、送信メールの間隔を設定
  （例　xxx のキーワードを検知の場合、900秒間隔でのメール送信通知）

【Powered BLUE サーバー設定】

• FJCloud-O への Powered BLUE サーバー設定後の引き渡しにも対応
• セキュリティ監査対応など

【デモサイト】

Powered BLUE のデモサイト

ご質問やご相談など

【FUJITSU Hybrid IT Service FJcloud-Oの特徴】

• OpenStack準拠のクラウドサービス
• API / Ansible / OpenStack Horizon からコントロール可能
• 回線費用は無償（ベストエフォート）
• Firewall無償
• リモートコンソールでの管理画面へのアクセス
• 単一ゾーンでのSLA 99.99%
• フェイルオーバー機能　- 　標準装備
• アンチ・アフィニティをサポート
• 国内リージョン2か所（東日本・西日本）
• ISMAPに対応

などです。

【Keycloak アプライアンス】

サーバーやKeycloakの設定はすべてGUIから行え、KeycloakのDB設定やバックアップやリストア及びバージョンアップ機能などを有したKeycloakのアプライアンス

　「Powered BLUE idP for Keycloak」

をFJCloud-O上で運用します。

【FUJITSU Hybrid IT Service FJcloud-Oでの構築】

【Powered BLUE サーバーの設定】

FUJITSU Hybrid IT Service FJcloud-OにPowered BLUEをセットアップする　例

【Keycloakの構成やDB設定】

GUIから

• サーバーの設定（Network / Firewall )
• ウィザードによるKeycloakの構成や設定（スタンドアロンやクラスター）
• DB 設定（ H2 / MariaDB ）
• DB 構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 ）
• Keycloak のバックアップ、リストア、バージョンアップ
• keycloak へのアクセスポート（ 80 / 443 )
• リバースプロキシ連携機能
• SSLサーバー証明書の登録
• アクティブモニタ（サービス監視・再起動・管理者への通知）

などに対応しており、コマンドラインからのプログラムのインストールや設定は不要

( 画面のイメージをクリックで拡大表示 ）

【Keycloakのバックアップ】

• バックアップやリストア

【Keycloakのバージョンアップ】

• ver 18.0.1 から　ver 19.0.1 へ　変更　（例）

【アクセスポート 80 / 443 】

リバースプロキシ経由やダイレクトにKeycloak (443 port) へのアクセスのどちらの構成にも対応

1) リバースプロキシ経由でKeycloakへアクセス　 ( リバースプロキシ＋Keycloak 1台で運用 ）

• Client  ⇒  「 443 / リバースプロキシ　 ⇒  80 / Keycloak 」
  

2) ダイレクトにKeycloak へアクセス(https/443)

• Client   ⇒  443 / Keycloak (SSLサーバー証明書インストール）

【SSLサーバー証明書機能】

SSLサーバー証明書をインストールすることで、WANに設置の場合でもリバースプロキシを経由しない構成でhttps / 443 ポートへのダイレクト・アクセスでの運用に対応しています

• 自己証明のSSL証明書の作成機能
• パブリックなSSL証明書や中間証明書のインポート機能

【サーバーの自己監視機能】

• サーバーのモニタリングやサービスの自動再起動
• パッチの自動適用機能
• 管理者への通知機能

【Keycloakへのアクセス】

https://xxx.yyy.zzz.ttt/

【idPとSPの構成】

• 　idP – SP の構成　例１

SP機能のWebアプライアンス　　Powered BLUE Web for SSO / IDaaS

・idP – SP の構成　例２

SP機能のリバースプロキシ・アプライアンス　　Powered BLUE Reverse-Proxy for SSO / IDaaS

【SSOのステップ】

① ターゲットWebやリバースプロキシ（SP）へアクセス
② 初回のみ idP / Keycloak へアクセス ( シングルサインオン ）
③ idP / Keycloak の認証後にターゲットのWebサイトの表示

【HAの構成】

• Keycloakのクラスター構成

GUIからDBやクラスタの設定が出来ます

FJcloud-O 標準のロードバランサーでのクラスター構成

【閉域網での構築＆運用に対応】

• 仮想アプライアンスのイメージのインポートにより、インストールなしでの運用が可能
• サーバーの自己監視機能により、外部の監視サービスを利用しない運用が可能
• LGWANなどでの運用に対応

【SSLクライアント認証で運用する】

Keycloakへの認証を

• IDパスワード＋SSLクライアント認証

の多要素認証にする（Private-CAとの連携）

SSLクライアント証明書の発行及びSSLクライアント認証局として

「Powered BLUE プライベートCA」

を利用します。

【失効リストの入手＆自動同期】

Private-CAの失効リストをKeycloak側で入手＆自動同期する設定をします

【Keycloakの認証設定】

Keycloakを運用するサーバーのURL

• 例　https://auth.powered.blue/

このサーバーの keycloakの ログイン dir  /auth 以下にSSLクライアント認証を設定の場合

• https://auth.powered.blue/auth

【SSLクライアント証明書が有効の場合】

１）ターゲットWeb（SP）にアクセス
２）idP / Keycloakの認証
（シングルサインオン・SSLクライアント認証）
３）認証の成功後　ターゲットWeb（SP）を表示

【FIDO2/生体認証での運用に対応】

指紋認証器の特徴

• 10本の指が登録でき、どの指でも認証ができる
• 認証精度が安定している
• 認証器が豊富
• USBタイプはPCへの接続が簡単
• 汎用のPCで利用できる
• Windows10 / 11 の標準機能で指紋登録ができる

指紋認証器の構成例

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

【指紋登録方法】

* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます

アカウントを選択

サインインオプション&セキュリティキーを選択

セキュリティキー（指紋認証器）にタッチ

「セキュリティキーの指紋」のセットアップを選択

セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

本人の確認（指紋認証器に設定したPINコードの入力）

「指紋認証器」へ指紋の登録

指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

他の指も登録できます（合計10本まで）

【生体認証でWebへアクセス】

パスワードレス認証で運用のケース

（「認証器の所持認証」+「生体認証」の2要素認証 ）

１）生体認証対応Webへアクセス（IDのみ入力 / パスワードレス）
２）セキュリティキーにタッチ（指紋認証）
３）認証後にターゲットのWebサイトが表示されます

【こんな場合に】

• iDaaSなどは社内規定で利用が出来ない
• ユーザー数が多いので費用の抑えられるOSSのidPを利用したい
• 自社管理でidPを運用したい
• メンテナンスの簡単なアプライアンスで‘運用したい
• 国内法が適用されるクラウド基盤で運用したい
• LGWANやクローズドネットワークで運用したい
• SSLクライアント認証や生体認証で運用したい

ご不明な点などは、ムービットの  お問い合わせフォーム からお問い合わせください

ユーザー側の機器としては、スマートフォンやタブレット、パソコンなどのFIDO2 / WebAuthn 生体認証に対応の機器からのアクセスに対応しています。

FIDO2対応のWebサイトとしては、一般的なWebコンテンツの他、WordPressで作成のWebサイトの生体認証の構築・運用にも対応しています。

【FIDO2 / WebAuthnとは】

FIDO2 / WebAuthn は、Webへのアクセス時に「生体認証デバイス」と「ウェブブラウザー」を利用してWeb認証を行う「生体認証の標準規格」です。FIDO2の生体認証を行うことで、パスワードを利用しない認証（パスワードレス認証）が可能です。またFIDO2 / WebAuthn  では、ユーザーの生体情報は「外部に漏洩しない」という特徴を有しています。

FIDO2 / WebAuthn に対応の「生体認証デバイス」としては

• 指紋認証器
• 顔認証器
• 静脈認証器

などがあります。

FIDO2 / WebAuthn のメリットは、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っていることです。

1. 主要なブラウザは、すべてFIDO2に対応済
2. Windows やアンドロイドなどもFIDO2に対応済
3. iPhone / iPad はSafari （ブラウザ）が対応済

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレットの生体認証器で指紋認証や顔認証を利用するため、外部接続の生体認証器は必要ありません。

Webサイトへアクセス時の認証としてスマートフォンやタブレットの指紋認証や顔認証などをそのまま、Webサイトへのアクセス認証で利用できます。

アンドロイド / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

汎用PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【システム環境】

生体認証対応Webシステム		運用先

【FIDO2規格】

FIDO2は、Webサービスで生体認証を行いパスワードレス認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

【生体情報の保護】

FIDO2では生体情報が保護されます

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号化方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【FIDO2生体認証のメリット】

FIDO2による生体認証の特徴は

• パスワードを覚える必要がない ( パスワードレス認証 )
• 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
• 第3者がユーザー側の「認証器」を利用しても、認証されません（なりすまし防止）

【今回の構成】

FIDO2生体認証対応のidPと連携のWeb・システムとしては、「Powered BLUE Web for SSO / IDaaS」を利用して「FUJITSU Hybrid IT Service FJcloud-O」上で運用します。

【FUJITSU Hybrid IT Service FJcloud-Oの特徴】

• 回線費用は無償（ベストエフォート）
• オブジェクトストレージからのダウンロードも無償（ベストエフォート）
• Firewall無償
• リモートコンソールでの管理画面へのアクセス
• OpenStack準拠
• API / Ansible / OpenStack Horizon からコントロール可能
• 単一ゾーンでのSLA 99.99%
• アンチ・アフィニティをサポート
• ISMAPに対応

などです。

回線費用が標準費用に含まれているため、通信費用を気にすることなく「予算内」での運用が可能です。

【FUJITSU Hybrid IT Service FJcloud-Oでの構築】

「FUJITSU Hybrid IT Service FJcloud-O」上に「Powered BLUE」をセットアップします

【生体認証対応のWebサーバー】

Webサイトの機能は

• 一般的なWebコンテンツのWebサイト
• WordPerssで作成のWebサイト

などの構築＆運用に対応

Webページの任意のディレクトリに生体認証を設定できます

運用例

• トップページは、ワールドワイドに公開
• 特定のディレクトリは、社員や会員のみに生体認証でのアクセス設定

一般的なWebコンテンツのサイト		WordPressのサイト

一般的なWebデータで構築の場合

生体認証対応のWebサーバーへ、適宜Webコンテンツをアップロードします。

• Web サイトには、ユーザーアカウントは作成不要での運用に対応

WordPressの場合

Powered BLUE のフリープラグイン機能によりWordPressは、管理画面から簡単にインストール＆セットアップが出来ます

フリープラグインを選択

リストアップされた　WordPress の　メガネ　マークをクリック

WordPressをインストール＆セットアップします

• WordPressには、ユーザーアカウントは作成不要での運用に対応
• WordPressは最新版にアップデートできます

【生体認証器　PCユーザー】

生体認証としては、FIDO2対応の「指紋認証器」を利用します。USBタイプの指紋認証器は接続が簡単で便利です。

【指紋認証器の登録手順】

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

【Windowsでのセキュリティキー（指紋認証器）への指紋登録】

* Windows10 / 11ユーザーは、「Windowsの標準機能」を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションの「セキュリティキー」の登録機能から「指紋登録」が出来ます

１）アカウントを選択

２）サインインオプション&セキュリティキーを選択

３）セキュリティキー（指紋認証器）にタッチ

４）「セキュリティキーの指紋」のセットアップを選択

５）セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

６）本人の確認（指紋認証器に設定したPINコードの入力）

７）「指紋認証器」へ指紋の登録

８）指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

９）他の指も登録できます（合計10本まで）

【Webへのアクセス手順】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

PC ＋ FIDO2・指紋認証キー のユーザー

パスワードレス認証で運用のケース

（「認証器の所持認証」+「生体認証」の2要素認証 ）

１）生体認証対応Webへアクセス（IDのみ入力 / パスワードレス）

２）セキュリティキーにタッチ（指紋認証）

３）認証後にターゲットのWebサイトが表示されます

3要素認証で運用のケース

（「パスワード認証」＋「認証器の所持認証」+「生体認証」　の3要素認証 ）

１）生体認証対応Webへアクセス（ID & パスワード認証）

２）セキュリティキーにタッチ（指紋認証）

３）認証後にターゲットのWebサイトが表示されます

【こんな場合に】

• Webアクセス時に確実な「本人確認」を行いたい
• パスワードレスでのWeb認証を行いたい
• スマートフォンの生体認証を利用したい
• 海外や出張先のホテルからも安全にアクセスしたい
• VPNは負荷が高いので使いたくない
• 固定予算内での運用を行いたい
• 国内のクラウド基盤で運用したい

【既存のWebへ生体認証でアクセスするには】

すでに既存で運用のWebサイトへ生体認証でアクセスさせるには

　生体認証対応のidPと連携のリバースプロキシ

で対応します。

既存のWebサイトを改修することなく「生体認証システム」の導入が可能です。

【デモサイト】

Powered BLUE のデモサイトを用意しています

操作や動作を確認することが出来ます

　Powered BLUE  のデモサイト

ご不明な点などは、ムービットの  お問い合わせフォーム からお問い合わせください

【FUJITSU Hybrid IT Service FJcloud-Oの特徴】

• 回線費用は無償（ベストエフォート）
• オブジェクトストレージからのダウンロードも無償（ベストエフォート）
• Firewall無償
• リモートコンソールでの管理画面へのアクセス
• OpenStack準拠
• API / Ansible / OpenStack Horizon からコントロール可能
• 単一ゾーンでのSLA 99.99%
• アンチ・アフィニティをサポート
• 国内基盤で運用

などです。

回線費用が標準費用に含まれているため、通信費用を気にすることなく「予算内」での運用が可能です。

Powered BLUE リバースプロキシ / Reverse Proxyは、

1. リバースプロキシ ＆ ワンタイムパスワード認証
2. リバースプロキシ ＆ SSLクライアント認証
3. リバースプロキシ ＆ ワンタイムパスワード認証＆ SSLクライアント認証
4. リバースプロキシ ＆ SAML/OIDC認証（ idP連携  ）
5. リバースプロキシ ＆ SAML/OIDC認証＆SSLクライアント認証
6. リバースプロキシ ＆ Active Directory認証
   
7. リバースプロキシ ＆ Active Directory&SSLクライアント認証
8. リバースプロキシ ＆ 生体認証対応（ FIDO2 / WebAuthn ）
9. リバースプロキシ ＆ HAやGSLB対応

に対応の認証機能付きリバースプロキシ・アプライアンスです。

リバースプロキシ経由での社内LAN側などのWebサーバーへのアクセスに際して、既存の社内Web側は変更することなく、リバースプロキシ上に各種の認証を設定しての運用に対応しています。

リバースプロキシと認証機能を1台で運用出来ます。仮想アプライアンスで提供しており、FUJITSU Hybrid IT Service FJcloud-O環境で認証機能付きのリバースプロキシの導入＆運用が可能です。

【構築方法】

「FUJITSU Hybrid IT Service FJcloud-O」 で CentOS 7.x もしくはRedHat 7.x デフォルトのインスタンスを作成しておきます。

• サーバー名指定
• サーバータイプ選択
• パブリックイメージ選択　例　CentOS 7.９
• HDD サイズ指定　例　30GB

　FUJITSU Hybrid IT Service FJcloud-OにCentOS/RedHat対応インターネットサーバー Powered BLUEをセットアップする

【１】リバースプロキシ ＆ ワンタイムパスワード認証

対応のモデル
Powered BLUE 870 / OTP & Reverse Proxy

リバースプロキシにアクセス時にワンタイムパスワード認証を行います

ワンタイムパスワード認証は、google authenticatorの方式に対応しておりユーザー側では、利用するPCやスマフォ端末に応じて

●Google Authenticator
●Microsoft Authenticator
●WinAuth
●Authy
●IIJ SmartKey

などの無償のソフトウエアトークンなどを利用できます

簡単登録

QRコードを読み込むだけの簡単登録

ワンタイムパスワード認証のアクセス手順

• ワンタイムパスワードを表示
• リバースプロキシへアクセス（ワンタイムパスワード認証）
• 認証後にリダイレクト先のWebサイトが表示（例　SharePoint)

【２】リバースプロキシ ＆ SSLクライアント認証

リバースプロキシへのアクセス時にSSLクライアント認証を行います

対応のモデル
Powered BLUE Private CA & Reverse Proxy

Private-CA機能＆SSLクライアント認証

• Private-CA 機能によりSSLクライアント証明書を発行します
• Public-CAで発行のSSLクライアント証明書でSSLクライアント認証を行います

特徴

• リバースプロキシへのアクセス時にパスワードの入力不要
• 日時などでのリバースプロキシへのアクセスコントロールが可能

アクセスコントロール　例

• 組織や部門でのアクセス制限
• 曜日や時間帯でのアクセス制限
• 特定ユーザーでのアクセス制限
• 端末を紛失したので、ただちにＡさんのSSLクライアント証明書でのアクセスを禁止

有効なSSLクライアント証明書のない場合

リバースプロキシでアクセスが拒否されます

証明書　〇　　　　　　　　　証明書　

【３】リバースプロキシ ＆ ワンタイムパスワード＆ SSLクライアント認証の併用

リバースプロキシにアクセス時にSSLクライアント認証とワンタイムパスワード認証を行います

対応のモデル
Powered BLUE Web Station

特徴

• 多要素認証によりリバースプロキシの認証の強度が上がります

認証のステップ

１）ワンタイムパスワードを表示させる
２）SSLクライアント認証 (リバースプロキシ）
３）ワンタイムパスワードを入力 (リバースプロキシ）
４）認証後にリバースプロキシ先のWebが表示

【４】リバースプロキシ ＆ SAMLやOIDC認証

リバースプロキシへのアクセス時にSAMLやOIDC認証を行います

idP / IDaaS

idPとしては、Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Azure AD / Keycloak / OpenAM 他 などのSAML認証に対応しています。

既にこれらのiDaaSなどのサービスを利用されている場合に運用が出来ます

SAML-SP / OIDC-RP

Powered BLUE リバースプロキシは、SAML認証やOIDC認証に対応のSP(サービスプロバイダ）として動作します

対応のモデル
Powered BLUE Reverse Proxy for SSO / IDaaS

特徴

• シングルサインオン/SAML認証やOIDC認証に対応のリバースプロキシとして運用が出来ます

認証のステップ

１） ID認識型リバースプロキシへアクセス
２） 初回のみ idP へアクセス ( シングルサインオン ）
３） idPの認証後にリバースプロキシ先のWebサイトの表示

【５】リバースプロキシ ＆ SAMLやOIDC認証とSSLクライアント認証の併用

リバースプロキシへのアクセス時にiDaaS側のSAML認証やOIDC認証に加えて、社内ネットワークへのアクセスに際して、リバースプロキシ上で自社管理で運用が出来るSSLクライアント認証を行います。iDaaS/idPでは社内LANへのアクセスが厳しい場合でも、自社ポリシーによりSSLクライアント認証を行い社内側でのアクセスを行わせる事が出来ます。

特徴

• リバースプロキシ上でのSSLクライアント認証では、自社の管理下で自社のポリシーに即した認証設定での運用が出来ます

【６】リバースプロキシ ＆ AD認証

リバースプロキシへのアクセス時にActive Directory認証経由で、社内Webへのアクセスします。対応のモデル　Powered BLUE Reverse Proxy for AD

特徴

• リバースプロキシにはユーザーアカウントが不要なため、簡単に運用ができます。

AD認証時の手順

１）リバースプロキシへアクセス
２）アカウントやパスワードを入力（AD認証）
３）ADの認証後にリバース先のWebを表示

【7】リバースプロキシ ＆ SSLクライアント認証+AD認証

リバースプロキシへのアクセス時に「SSLクライアント認証とActive Directory認証」を併用します。対応のモデル　Powered BLUE Reverse Proxy for AD

特徴

• リバースプロキシへのアクセスに際して、多要素認証で運用ができます。

SSLクライアント認証＆AD認証時の手順

１）リバースプロキシへアクセス
２）SSLクライアント認証
３）アカウントやパスワードを入力（AD認証）
４）ADの認証後にリバース先のWebを表示

【8】生体認証対応（FIDO2 / WebAuthn)

FIDO2の生体認証（指紋認証）機能により、「なりすまし防止」でのアクセスが出来ます

特徴

• 生体情報は覚える必要がない
• パスワードレス認証に対応
•  生体情報は偽造しにくい

生体認証器

利用者はUSBタイプのセキュリティキー「指紋認証器」をPCへ接続

指紋を登録

構成

　https://www.mubit.co.jp/sub/products/blue/b870-sso-rev.html

指紋認証時のWebアクセス手順

例　生体認証を利用したパスワードレス認証
（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 　生体認証 ）
③ 認証後にターゲットWebへリダイレクト

【9】HA ＆ マルチリージョン

ロードバランサー配下での運用やGSLB、Route53との組み合わせによるマルチAZでの運用にも対応しています。

ロードバランサー配下での運用

認証対応のリバースプロキシはシングルリージョン（シングルAZ）のロードバランサー配下に設置・運用

マルチAZでの運用

認証対応のリバースプロキシの設置・運用先

• リージョンA　東日本データセンター
• リージョンB　西日本データセンター

【10】WAN側設置のWeb

クラウドやWAN側に設置のWebへのアクセス認証をリバースプロキシで代行させることもできます。

認証対応のリバースプロキシからのアクセスに限定することで、Webサーバー側に認証機能が無い、もしくは認証機能が弱い場合でも運用が可能です。

【11】ひとり情シス対応

• サーバーの自己監視
• サービスの自動再起動
• パッチのスケジュールアップデート

などの機能を装備。ひとり情シスでの運用に対応しています。

【12】ログの保存

• シスログの保存 ( 任意期間の保存 )
• シスログの転送 ( 同時に3カ所への送信 )
• シスログのトラップ

などに対応 (オプション）

任意キーワードでのトラップ　&  アラートメールの送信先の指定　例

デモサイト

Powered BLUE のデモサイトを用意しています

各種操作や認証設定、リバースプロキシなどの動作を確認することが出来ます

デモサイト

SSDの空き容量が10GBを切ったので、SSDの換装をします。

• SSD M2-2280/SATA 容量128GBから1024GBへ換装

オリジナルのSSDはM2/PCI-Expressタイプではありません。交換用のSSDを選択の場合には注意が必要です。今回はSSDの容量を1024GBのM2-2280/SATAに交換します。Windows11にアップデートしても、使えるように容量の大きいものを選定しました。

搭載モデルのSSD機種の確認

自身で利用のPCのHDDやSSD機種を確認方法は、Cドライブの場合では

• プロパティ
• ハードウエアの項
• ディスクドライブの項

で利用のモデル名が表示されます（今回とは、異なるモデルの例）

FMV LifeBook UH55/B3のディスク構成

モデルにより、パーティション構成は異なります

現在の128GB SSDの構成

• Cパーティションのみ

交換後の1024GB　SSDの構成

• CパーティションとDパーティション

ディスクコピーツール

ノートPC側にはオンボード側には空きのソケットがないので、内蔵SSDのデータを交換する外付けSSDへ丸ごとバックアップします。

ディスクコピーツールは、無償でもユーザーデータなどを収集するタイプのものは使いたくないので今回は、Western Digital の製品で無償で使えるAcronis社の コピーツール　True Image WD Editionを利用。（WDのHDDやSSD製品が、PC接続されていれば動作します）

ディスクパーティション

オリジナルのLifeBook UH55/B3 はSSD-128GB のSSDは、「Cパーティションのみ」でDパーティションはありません。

オリジナル128GB  SSDのパーティション構成は

• EFIシステムパーティション（100MB）
• Ｃパーティション（115GB)
• 回復パーティション（3GB）

です。

回復パーティションがCドライブの後ろにある状態で、Cドライブの容量を同一サイズのままで丸ごとディスクコピーを行うと、コピー後にCドライブの容量が拡張できないので注意が必要です。
（回復パーティションを削除して、Cドライブを拡張することになります）

用意したもの

１）交換用SSD　Western Digital M2-2280/SATA タイプ 1024GB
WD Red SA500 NAS SATA WDS100T1R0B

２）M2 対応のUSB接続のSSDケース　NVMeとSATAの両方に対応のケースを用意
M Key / B＆M Key    Type 2242 /2260 / 2280      Max 2TB  / USB 3.0 / USB 3.1
エアリア M.2 SSDケース INTERCOOLER2を選択

今後も他のノートPCもWindows11 へのアップグレード対応などで、SSDの交換に使えることも考慮して、M2/PCI-ExpressとSATAの両方に対応のモデルを入手＆利用しています（M2-2280/SATAに対応のUSB接続のケースであれば他のモデルでも使えます）

３）ディスクコピーツール「 Acronis True Image WD Edition 」

コピー先がWD製のSSDなので利用ができます

SSDでWD以外の製品を利用の場合には、SSDのメーカーで提供のコピーツールが利用できるかを確認の上、SSDを選択する必要があります。SSDのメーカーで各社とも対応のコピーツールを提供している場合には、使用ができます

４）外付けDVD-Drive

システム修復ディスク作成用（なくてもいいですが、念のため作成したほうがベター）

手順

１）交換前の修復ディスクを作成

交換前のNote-PCの構成で戻せるようにするため
外付けDVD-Rが必要です（CD-Rは容量が不足です）

修復ディスクはなくても、SSDをオリジナルにすれば戻せます

２）Acronis True Image WD Edition　をノートPCへインストール

３）Acronis True Image WD Edition　でディスククローンを選択

コピー元

　　　SATA　128GB SSD

コピー先

　　　USB　960GB SSD　（外付けUSB＋交換用SSD）

手動モードを選択、今回のケースでは

• 　EFI 1GB
•     Cドライブ  115GB
•     回復パーティション　860GB

に暫定でアサインされます

パーティションサイズの調整

暫定でアサインされたパーティションのサイズを適宜、変更します

回復パーティションの容量を変更して、Cドライブの容量の増設とDドライブ用に割り当てます

回復パーティションの容量を3GB へ縮小してアサインする際に、回復パーティションの前半に空きを割り当てます。空きのパーティションを分割して、CドライブへのアサインとDドライブ用に空けておきます

今回の割り当て後の構成

• 　EFI 1GB　 (100MBに縮小するのを忘れました）
•     Cドライブ  520GB　（115GBから520GBへ増設）
•     Dドライブ用 407GB　（407GBをアサイン）
•     回復パーティション　3GB（860GBから3GBへ縮小）

同一機器ではなく、「異なる機器でのクローン」を選択することがポイントです

パーティションの構成については、利用するSSDの容量やアサインの順番も含めて適宜、アサインしてください

同一モデルでのディスククローンを選択すると、今回利用のバージョン

• True Image WD Edition 2021ビルド39200

では同一モデルでのコピーでは「修復パーティション」がコピーされません。

Windows11 では、Windows10からのアップグレードに際して Cドライブの空き容量は、64GB程度を推奨のようです。

コピー時間

最初の表示は1時間程度の表示で須賀、今回のSSD-128GB からUSB-3.0 / SSD-1024GBへはコピー元の実容量100GBのケースで実質15分程度です

ただし

• コピー元実容量が多い場合
• コピー先がHDDなどの場合

には、数時間程度かかります

SSDの交換

• バックパネルのネジのサイズは3種類
• ネジを間違えないように、外したした順番でテープに張り付けました
• はずすした順番通りに戻します

• SSD交換の前に、ノートPC裏面のrepair ボタンを押します

• SSDを交換

起動

repair ボタンを押した後の最初の起動には、「AC電源を接続して電源ボタンを押す」必要があります

回復ドライブの動作確認

回復ドライブの動作ができれば、回復パーティションの動作に問題ありません

１）システムとセキュリティのコンピューターの状態を確認を選択

２）回復（R）

３）回復ドライブの作成

４）回復ドライブの作成

５）作成中であれば　正常です

ディスクパーテイションの確認

回復ドライブの動作は正常でしたが、デイスクパーティションの表示を行うと、回復パーティションにアサインの3GB部分に、「回復パーティション」の表示がありませんでした。アサインされているattributes が異なるようです。そのため表示がないだけで動作上は問題はないようです。修正をする場合にはdiskpart コマンドで attributes の変更を行います。

ディスク管理で表示

diskpartコマンドでattributes を変更

1. コマンド プロンプト (管理者) を起動します。

2. “diskpart” を実行します。

3. “list disk” を実行し、ディスク番号を確認します。

4. “select disk ディスク番号” を実行し、回復パーティションがあるディスク番号を選択します。

※環境に合わせ番号は変更します。(今回は０）

5. “list partition” を実行し、回復パーティションのパーティション番号を選択します。

6. “select partition パーティション番号” を実行し、回復パーティションのパーティション番号を選択します。※環境に合わせ番号は変更します。(今回は4）

＊が付いているパーティションが選択されています

7. “detail partition” を実行し、属性を確認します。

8. “gpt attributes=0X8000000000000001” を実行し、属性を変更します。

以上で、ディスクパーテイションの表示が「回復パーティション」で正しく表示されます

Windows11へのアップグレード

ＣドライブのSSDの空き容量が、交換前の10GB から405GB程度に大幅に改善されたのでWindows10からWindows11へのアップグレードが可能になりました。（空き容量64GB推奨）

富士通ノートPCのモデル LifeBook UH55/B3はメーカーのリストでは、Windows11にはアップグレードできないようです

Windows11へアップグレードを行うには、以下のような手順が必要です

https://www.mubit.co.jp/pb-blog/?p=20204

4OSSのテンプレートを使ったサーバーでは、AWSと同様にssh-key ファイルでのログインが標準です。Azureのようなインスタンス作成時のパスワードログインの選択肢はありません。

• AWS 　ssh-keyでのログイン
• 4OSS　ssh-keyでのログイン
• Azure   ssh-keyでのログインやパスワードログインが選択出来る

リモートコンソール

4OSSの特徴としては、noVNCでのリモートコンソールからのログインをサポートしています。リモートコンソールでサーバー起動時の状態などを見ることが出来ます。AWSなどでは正常に起動しない場合でも、悶々として待っているしかありませんが、4OSSでは起動中の様子がコンソールから見れるので気をもむような事態が解消されます。

ただし、4OSSのLinuxテンプレートを利用したサーバーの場合、最初の起動時にはパスワードは自動生成されるためにパスワードは不明です。他社のように自動で生成されたパスワードのポップアップ表示などの親切な機能はありません。また初期設定では、パスワード認証がオフの為にパスワード認証でのログインが出来ません。つまりデフォルトのテンプレートから作成のLinuxサーバーでは、リモートコンソールからのログインが不可能です。

sshでのパスワードログイン許可やリモートコンソールからのログイン設定

デフォルトでは、rootのパスワードが不明＆root ログインが禁止の為に、sshでのパスワードログインやリモートコンソールからはログインできません。cloud.initなど によりサーバー起動時の設定が規定されています。サーバー起動後にssh-keyなどでログインした後に、デフォルトの設定を変更する必要があります。

いざ鎌倉

外部のWAN側からサーバーにアクセス出来ない場合などでも、コンソールからログインを出来るようにしておくと、何らかの障害でWANからサーバーにアクセス出来ないケースで役立ちます。

cloud.init の設定変更　（root ログイン許可 / ssh でのパスワード認証許可)

/etc/cloud/cloud.cfg　ファイルの2か所を

disable_root: 0
ssh_pwauth: 1

へ変更

rootのパスワード設定

[root@test-c73 cloud]# passwd
Changing password for user root.
New password:                     ←　パスワードの入力
Retype new password:　　　　　　　　←　パスワードの再入力
passwd: all authentication tokens updated successfully.
[root@test-c73 cloud]#

sshやリモートコンソールからのログイン（root ログイン許可 / ssh でのパスワード認証許可)

/etc/ssh/sshd_config　ファイルの以下の項目を設定

PermitRootLogin　 yes
PasswordAuthentication 　yes

へ変更

sshd の再起動

[root@test-c73 cloud]# systemctl　 restart　 sshd
[root@test-c73 cloud]#

$ ssh 　133.162.65.161　-l　 root
root@133.162.65.161’s password:　　　　←　パスワードの入力
Last login: Mon Sep 17 10:02:50 2018
[root@test-c73 ~]#

リモートコンソールからのログイン

リモートコンソール

• root に設定したパスワードを入力
• コンソールからのログイン

time-zone / 日本時間 JST に変更

デフォルトのタイムゾーンは、英語版テンプレートのためUTCです。

[root@test-c73 ~]# date
Mon Sep 17 11:57:52 UTC 2018

オリジナルをバックアップ

[root@test-c73 etc]#　cp　 /etc/localtime　 /etc/localtime.org

日本時間に変更（リンクの変更）

[root@test-c73 etc]# ln 　-sf 　/usr/share/zoneinfo/Asia/Tokyo 　/etc/localtime

[root@test-c73 ~]# date
Mon Sep 17 21:04:15 JST 2018

時間を適切に調整しないと、cronなどで運用時に意図しない時間に動作したりします。またlogの時間などがUTCだとわかりにくい場合があります。

Localeの設定

英語版のため、locale は US です

[root@test-c73 ~]# locale
LANG=en_US.UTF-8
LC_CTYPE=”en_US.UTF-8″
LC_NUMERIC=”en_US.UTF-8″
LC_TIME=”en_US.UTF-8″
LC_COLLATE=”en_US.UTF-8″
LC_MONETARY=”en_US.UTF-8″
LC_MESSAGES=”en_US.UTF-8″
LC_PAPER=”en_US.UTF-8″
LC_NAME=”en_US.UTF-8″
LC_ADDRESS=”en_US.UTF-8″
LC_TELEPHONE=”en_US.UTF-8″
LC_MEASUREMENT=”en_US.UTF-8″
LC_IDENTIFICATION=”en_US.UTF-8″
LC_ALL=

ja_JP への変更

[root@test-c73 etc]# localectl  set-locale LANG=ja_JP.eucjp

設定内容を現在のコンソールにも適用

[root@test-c73 etc]# source  /etc/locale.conf

[root@test-c73 etc]# locale
LANG=ja_JP.eucjp
LC_CTYPE=”ja_JP.eucjp”
LC_NUMERIC=”ja_JP.eucjp”
LC_TIME=”ja_JP.eucjp”
LC_COLLATE=”ja_JP.eucjp”
LC_MONETARY=”ja_JP.eucjp”
LC_MESSAGES=”ja_JP.eucjp”
LC_PAPER=”ja_JP.eucjp”
LC_NAME=”ja_JP.eucjp”
LC_ADDRESS=”ja_JP.eucjp”
LC_TELEPHONE=”ja_JP.eucjp”
LC_MEASUREMENT=”ja_JP.eucjp”
LC_IDENTIFICATION=”ja_JP.eucjp”
LC_ALL=

キーマップの調整

コンソールからログイン操作の際には、利用するキーボードのキーマップを合わせないと特殊記号などのアサインが異なるので、特殊記号の入力に苦労します。

英語版テンプレートのデフォルトのキーマップは、us-101 キーボードです

[root@test-c73 etc]# localectl   status
System Locale: LANG=ja_JP.eucjp
VC Keymap: us
X11 Layout: us

• 101でもキー配列が異なる場合があります　（ex 101 AT Keyboard )

jp106 日本語キーボードへの変更

[root@test-c73 ~]# localectl　 set-keymap 　--no-convert 　jp106
[root@test-c73 ~]# localectl　 status
System Locale: LANG=ja_JP.eucjp
VC Keymap: jp 106
X11 Layout: us

パッチの適用

4OSSではAWSなどのLinuxサーバーと異なり、CentOS の場合 yum update でkernelなどもアップデートが出来ます。

アップデート前

[root@test-c73 ~]# uname   -a
Linux test-c73.novalocal 3.10.0-514.10.2.el7.x86_64 #1 SMP Fri Mar 3 00:04:05 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

[root@test-c73 ~]# yum  update

#### #### 10 ##・#### (+35 ###########・####)
#### 201 ##・####
######: 249 M Is this ok [y/d/N]:　y
[root@test-c73 ~]# reboot

アップデート後

[root@test-c73 ~]# uname   -a
Linux test-c73.novalocal 3.10.0-862.11.6.el7.x86_64 #1 SMP Tue Aug 14 21:49:04 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

アップデート＆再起動後に、kernelが　3.10.0-514.10.2 ーー＞3.10.0-862.11.6　へ変更されました

例　 Web / WordPress  / Roundcube / Mattermost などのWebページへのSSLアクセス認証

Private CA 機能の他に、SSLクライアント認証やリバースプロキシ－機能を持つPowered BLUE Private CA を利用します。サーバーの設定は全てGUIからの操作に対応しており、証明書の発行、失効なども簡単に自社管理での運用が出来ます。Let’s Encryptにも対応しており、WebサイトのSSLサーバー証明書の自動更新での運用も可能です。

Powered BLUE Private CA の 機能

• プライベート CA （プライベート認証局）
• SSLクライアント認証
• Mail / Web / DNS  サーバー
• Webサイト
• WordPress
• Mattermost / ビジネスチャット（拡張機能）
• Roundcube / Webmail
• Let’s Encrypt 対応
• リバースプロキシー

などを１台のPowered BLUE Private CAで同時に運用出来ます。

運用例

仮想サイト A.co.jp  で以下のWeb サービスを同時に運用。既存環境にも簡単に導入が出来るため、働き方改革によるリモートワークやテレワークの実現をサポート。

• Let’s Encrypt でサイトのSSLサーバー証明書を利用
• WordPressで一般向けWebを運用　(SSLクライアント認証なし）
• WordPressで社員用Webを複数運用　(SSLクライアント認証）
• Mattermost を運用　(SSLクライアント認証）
• Roundcube を運用　(SSLクライアント認証）
• リバースプロキシを運用　(SSLクライアント認証）

など

CA/リバースプロキシを分離での運用にも対応

• Public-CAやPrivate-CAを分離での運用例

別サーバーで運用のCAとの連携も出来ます

「Fujitsu Cloud Service for OSS (4OSS)」の特徴は

• OpenStack準拠
• Ansible/Horizonからコントロール可能
• 単一ゾーンでのSLA 99.99%
• アンチ・アフィニティをサポート
• オブジェクトストレージからのダウンロードにも費用がかからない
• 回線費用は無償（ベストエフォート）

などです。

FUJITSU Hybrid IT Service FJcloud-O上へのPowered BLUEのセットアップは以下も参照のこと

　「Fujitsu Cloud Service for OSS(4OSS)」上にCentOS 7のインスタンス構築設定

　「FUJITSU Hybrid IT Service FJcloud-O」上へのPowered BLUEのセットアップ

Powered BLUE Private CAの設定

サーバー起動後に、GUIでウイザードを実行します。GUIへのアクセスポートは　http 81 / 444 番です　firewallには TCP 81/444番 を通過させる設定が必要です

サーバーへのアクセス 例　http://54.65.17.7:444

管理サーバー名などを入力します

DNS などはEnterprise Cloudのデフォルトで設定されたものでも構いません。自社で独自に構築するのであれば、適宜指定します。

サーバーのIP/Gatewayなどは、変更せずにこのまま利用します。

adminのパスワードを入力します。

Languageに日本語を選択すると、GUIの表示は日本語となります。

Time-Zoneなどを適宜選択します。

ウイザードの終了後に、サーバーへ再ログインします。

管理サイト　サーバー名等を設定します。

NTPサーバーを指定します

プライベートCAの構築

プライベートCAを運用する仮想サイトを設定します

CA証明書の作成

• CA証明書の有効期限を設定
• CAのパスワードを設定

以上でCAの構築は終了

SSLクライアント証明書の発行

プライベートCAでSSLクライアント証明書を発行。クライアント証明書は、会社や部門全体での一括発行や、１ユーザーごとの個別の発行が出来ます。

SSLクライアント証明書を個別発行の場合（1枚発行の場合）

例　suzuki@mubit.com ユーザーのクライアント証明書を作成

有効期限などを指定して発行します

有効期間やポリシーを設定して、「部門や全社員の一括発行」なども対応しています。

SSLクライアント証明書をダウンロードします

ユーザーが個別に、発行されたSSLクライアント証明書をURL通知でダウンロードさせることも出来ます。

SSLクライアント証明書のブラウザへのインストール(IEの場合）

ツール　－　インターネットオプション　－　コンテンツ　－　証明書　を選択

個人のタグを選択

個人の証明書ストアへインポートします

SSLクライアント認証の設定

Private CAとWebサーバーを同一の仮想サイトで運用の場合

• 例　ca-test.mubit.jp　で運用の場合

SSLサーバー証明書の登録

• Webサーバーを運用するサイトへSSLのサーバー証明書を登録します
• 「自己署名デジタル証明書の作成」　または　「署名リクエストの作成」または Let’s Encrypt対応 で作成します。

自己署名デジタル証明書の作成の場合　(プライベートSSLサーバー証明書の場合）

• 「自己署名デジタル証明書の作成」から必要事項を記入して、SSLを有効にします
• 自己署名によるSSLのサーバー証明書が登録されます。

署名リクエスト / CSR で作成の場合 (パブリックSSLサーバー証明書の場合）

公的なSSLサーバー証明書を登録の場合には、ブラウザへの警告メッセージ

「このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません」

を抑制することが出来ます

SSLのサーバー証明書は

•  ドメイン認証証明書（DV:Domain Validation）
•  組織認証証明書（OV:Organization Validation）
•  EV証明書（EV:Extended Validation）

が登録出来ます

• 必要事項を記入して、　「署名リクエストの作成」　ボタンを押します

SSLサーバー証明書のインポート公的機関で発行された、サーバー証明書を　「インポート」　します

• 中間証明書のインポートにも対応しています
• Let’s Encrypt対応（Let’s EncryptのSSLサーバー証明書も組み 込めます
•  SNI対応　(IPアドレス1個で複数のWebサイトのSSL化）

SSLクライアント認証を有効

https://ca-test.mubit.jp へアクセス時のSSLサイトのクライアント認証を有効にします

Web Page 　https://ca-test.mubit.jp へのアクセス

SSLクライアント認証が有効の場合 / Web ページへアクセスが出来ます

グループウエアへのアクセス例
SSLクライアント証明書が有効の場合

SSLクライアント認証が無効の場合

Private CAとWebサーバーを異なるサイトで運用の場合

Webサービス用の仮想サイトを構築します

例　test-web.mubit.jp

test-web.mubi.jp サイトからPrivate-CA の運用サイト　http://ca-test.mubit,.jp 　とのcrl （失効リスト）の同期設定を行ないます

Webサーバーを運用するサイトには、SSLのサーバー証明書をインストールします

リバースプロキシ連携の場合

別サーバーで運用中のWebサーバーへのアクセス時にSSLクライアント認証

desknets / サイボウズ へのリバースプロキシの設定例

既存で運用中のWebサーバー（デスクネッツ/ サイボウズ）側の変更は不要です

既存のWebサービスとの連携

リバースプロキシによるSSLクライアント認証と既存のWebサービスとの連携の例 /多要素認証

• MosP勤怠管理/MosP人事管理/MosP給与計算
• NTTデータ イントラマートワークフロー
• エイトレッド X-point
• NIコラボスマート
• 楽々Workflow II
• eValue NS
• サイボウズ
• デスクネッツ
• Active! mail
• Powere egg
• RoundCube
• Aipo
• WaWaOffice
• Seagull Office
• OpenWebMail
• Zabbix
• Proself
• FileBlog
• Mattermost

リバースプロキシ設定&有効化

Private-CA を運用のサイトでリバースプロキシも運用します

プライベート認証局のこの仮想サイトにアクセスしたクライアントを、SSLクライアント認証後にリバースプロキシで指定したサーバーへリダイレクトさせます。

例　https://PrivateCAのサイト/demo/   －＞　http://www.zyx.co.jp/demo/

SSLクライアント認証でCA＆デスクネッツへのアクセス　-　承認された場合

有効なSSLクライアント証明書がインストールされたブラウザで、初回にアクセス時のブラウザでの表示例 （Ｆｉｒｅｆｏｘ）

https://ca-test.mubit.jp/dneo/dneo.cgi

SSLクライアント認証後のMosP勤怠管理のログイン画面

2要素認証 —  MosPの認証画面

MosPへログイン後の画面

SSLクライアント認証後のdesknet’s NEOのログイン画面

2要素認証 —  デスクネッツネオの認証画面

desknet’s NEOへログイン後の画面

SSLクライアント認証後のサイボウズのログイン画面

2要素認証 —  サイボウズの認証画面

サイボウズへログイン後の画面

SSLクライアント認証 / NTTデータイントラマートへのログイン

イントラマートへログイン後の画面

SSLクライアント認証 / X-pointのへのログイン

X-pointのへのログイン後の画面

SSLクライアント認証 / Active Mail のへのログイン

Active Mailへログイン後の画面

SSLクライアント認証 / 楽々ワークフローII へのログイン

楽々ワークフローII へのログイン後の画面

SSLクライアント認証 / eValue NSへのログイン

eValue NS へのログイン後の画面

SSLクライアント認証 / FileBlogへのログイン

FileBlog へのログイン後の画面

SSLクライアント認証 / roundcubeのへのログイン

roundcube へのログイン後の画面

SSLクライアント認証 / ownCloudへのログイン

ownCloud へのログイン後の画面

SSLクライアント認証 /MosP人事管理へのログイン

MosP人事管理 へのログイン後の画面

SSLクライアント認証 /MosP給与計算へのログイン

MosP給与計算へのログイン後の画面

Mattermostへのログイン

LB / ロードバランサ / SSLクライアント認証 / リバースプロキシ-連携

• SSLクライアント認証　&  ロードバランサー連携

• CAとSSLクライアント認証＆リバースプロキシを冗長化

Private CAとSSL VPNでのSSLクライアント認証連携

SSL-VPNでSSLクライアント認証後に指定のサーバーへアクセス
　SSL VPNでのSSLクライアント認証例

SSLクライアント認証を行なった上で、RDPなどでのアクセスが出来ます

SSLクライアント認証時のアクセスコントロール

有効なSSLクライアント証明書を有している場合でも、Webサイト毎に各種のアクセスコントロールが設定出来ます
失効リスト(CRL)に関わらず、ただちにWebへのアクセス禁止を設定できます
SSLクライアント証明書を失効させることなく、Webへのアクセスを禁止できます

• 利用するアプリでのアクセス制限
• 組織や部門でのアクセス制限
• 曜日や時間帯でのアクセス制限
• 特定ユーザーでのアクセス制限
• 端末を紛失したので、ただちにＡさんのSSLクライアント証明書でのアクセスを禁止

Powered BLUE Private CA へのフリープラグインなどのインストール

WordPressのインストール&セットアップ

Let’s Encryptのインストール＆セットアップ

 Rouncubeのインストールセットアップ

ownCloudのインストール＆セットアップ

php7 インストール＆セットアップ

ワンタイムパスワード認証＆SSLクライアント認証の併用

SSLクライアント認証とワンタイムパスワード認証の併用(多要素認証)及びリバースプロキシ機能までも1台のPowered BLUEサーバー上での運用も出来ます。 医療機関など、高度な安全性を求められる場面などに対応します 。

Powered BLUE ワンタイムパスワード認証アプライアンス

■アクセス手順
1）ワンタイムパスワードの表示
2）SSLクライアント認証後にWebサイトにアクセス
3）ID/パスワード/ワンタイムパスワード入力
4）ワンタイムパスワード認証の成功後　Webサイトの表示

*「OTP＋任意パスワード」認証にも対応

デモサーバー

Powered BLUEの　　デモサーバー

• 冗長構成のSSLクライアント認証＆リバースプロキシ( Reverse Proxy )
• クライアントから終端のWebサーバーまで、全経路での常時SSL通信

を行う場合の構成例です。

Client ⇒ ( 443 ) ⇒ LB  ⇒ ( 443 ) ⇒ SSLクライアント認証＆リバースプロキシ ⇒ ( 443 / 80 ) ⇒ Web

OpenStackのロードバランサー/ LBaaS v2 では、SSLのサービスを通過させるだけでオフロードをせずにリバースプロキシでSSLクライアント認証を行ないます。ロードバランサーにはSSLサーバー証明書の登録は必要ありません。

SSLクライアント認証後のリバースプロキシにより、最終のWebサーバーまで全経路にわたりSSL/TLSでの通信を行う構成です。リバースプロキシ先のWebサーバを外部から隠ぺいし安全性を高めることが出来ます。

１）SSLクライアント認証&リバースプロキシの冗長構成（Private CAは分離構成）

構築方針

１）SSLクライアント認証&リバースプロキシの冗長構成

• OpenStackのロードバランサー(LBaaS v2)でSSLをターミネートしない
• ロードバランサーを利用して負荷分散＆冗長構成の運用を行う
• ロードバランサーではTCP 443からTCP 443への転送
• クライアントからWebサーバーまでの全経路で常時SSL通信（https）を行う
• Private CA (認証局）は、OpenStack上で運用する
• SSLクライアント端末認証は、リバースプロキシ側で行う
• ロードバランサー（1台）とSSLクライアント認証&リバースプロキシ（2台）Webサーバー3台＆Private CA 1台 は同一ネットワークへ配置
• ロードバランサーには、SSLサーバー証明書の登録は不要
• 設定は全てWeb GUIから行なう

使用する機器

• FUJITSU Hybrid IT Service FJcloud-O（IaaS）
• FUJITSU Hybrid IT Service FJcloud-O　のロードバランサー ( LBaaS v2 ）
• Powered BLUE プライベート CA   1台 ( 認証局 / FUJITSU Hybrid IT Service FJcloud-Oで運用 )
• Powered BLUE リバースプロキシ　2台（ SSLクライアント認証 & Rev-Proxy / FUJITSU Hybrid IT Service FJcloud-Oで運用）
• Powered BLUE Web サーバー　3台（ Web / FUJITSU Hybrid IT Service FJcloud-Oで運用）
• SSLサーバー証明書

■プライベートCAとしては、

• Powered BLUE プライベートCA

を利用します。

公的な認証局 ( Public CA )も利用出来ます（例　グローバルサイン  ）

■SSLクライアント認証＆リバースプロキシとしては

• Powered BLUE リバースプロキシ

を利用します

■Web サーバーとしては

• Powered BLUE

を利用します

ネットワーク構成

• LAN 10.0.5.0 / 24
• ルーター / gw      　IP=10.0.5.1
• ロードバランサー   IP=10.0.5.2　 / IP=133.162.67.28  / LM-master-web.mubit.com
• B870-CA                 IP=10.0.5.20   / IP=133.162.67.42 /  B870-CA.mubit.com
• Rev1 / B870-REV1 IP=10.0.5.22  / IP=133.162.67.20 /  B870-REV1.mubit.com
• Rev2 / B870-REV2 IP=10.0.5.27  / IP=133.162.67.25 /  B870-REV2.mubit.com
• Web1 / B870-WEB1 IP=10.0.5.31  / IP=133.162.67.53 /  B870-LBC1.mubit.com
• Web2 / B870-WEB2 IP=10.0.5.32  / IP=133.162.67.54 /  B870-LBC2.mubit.com
• Web3 / B870-WEB3 IP=10.0.5.37  / IP=133.162.67.57 /  B870-LBC3.mubit.com
• 運用するゾーン  　 east-3 or west-3

設定&構築

今回はFUJITSU Hybrid IT Service FJcloud-OのGUIからの操作で構築します。尚OpenStack 標準のGUI / Horizonからの操作やAPI ,  Ansibleでの構築も可能です。

Networkの設定

OpenStack / FUJITSU Hybrid IT Service FJcloud-O　のネットワークなどの基本設定を行ないます。

• 4OSS/OpenStack上にNetworkなどを初期設定します

Private CAの設定

Private CAとしては、Powered BLUE Private CAを利用します

4OSS/OpenStack上にPowered BLUE Private CA サーバーをセットアップします。

• B870-CA  /  B870-CA.mubit.com  /  IP=10.0.5.20  / IP=133.162.67.42

SSLクライアント証明書の発行

プライベートCAでSSLクライアント証明書を発行。クライアント証明書は、会社や部門全体での一括発行や、１ユーザーごとの個別の発行が出来ます

SSLクライアント証明書を個別発行の場合（マニュアルで1枚発行の場合）

例　suzuki@mubit.com ユーザーのクライアント証明書を作成

有効期限などを指定して発行します

有効期間やポリシーを設定して、部門や全社員の一括発行も出来ます

SSLクライアント証明書をダウンロードします

ダウンロードURLを通知して、ユーザーが個別にダウンロードすることも出来ます

SSLクライアント証明書のブラウザへのインストール(Firefoxの場合）

「証明書を表示」をクリック

あなたの証明書」のインポートをクリック

SSLクライアント証明のパスワード入れてインストールします

正常にインポート時の表示

証明書マネージャーにインストールしたクライアント証明書が表示されます

プライベートCA設定のポイント

CRLを配布できるSSLクライアント認証＆リバースプロキシのIPを指定できます

例　SSLクライアント認証＆リバースプロキシ

• B870-REV1 IP=10.0.5.22
• B870-REV2 IP=10.0.5.27

Private CA へのIPのアサイン

• B870-CA  /  B870-CA.mubit.com  /  IP=10.0.5.20  / IP=133.162.67.42

リバースプロキシの設定

Powered BLUE サーバーは1台で

• SSLクライアント認証＆リバースプロキシサーバー

の機能を有しています。

2台のリバースプロキシサーバーに、

SSLサーバー証明書を入れます。またSSLクライアント認証の設定とリバースプロキシの設定を行ないます。

Powered BLUE サーバーは、ベースOSとして　CentOS 7.x / RedHat 7.x (64bit) で動作します。CentOS / RedHat 対応のアプリケーションをインストール＆運用することも出来ます。WordPress や Let’s Encrypt などは、フリープラグインにより簡単にPowered BLUE サーバーへインストール&利用が出来ます。

ポイント

• 2台のリバースプロキシサーバーに、同一のSSLサーバー証明書を入れます
• SSLサーバー証明書は、自己証明書やLet’s Encrypt、パブリックなサーバー証明書を登録出来ます

自己証明書の場合

同一のSSLのサーバー証明書を作成します（1台目のhttpsサーバー）

• 「自己署名デジタル証明書の作成」　または　「署名リクエストの作成」　で作成します

自己署名デジタル証明書の作成の場合

• 「自己署名デジタル証明書の作成」から必要事項を記入して、SSLを有効にします

パブリックなSSLサーバー証明書を利用の場合

• 署名リクエスト(CSR)で作成の場合
• 必要事項を記入して、「署名リクエストの作成」　ボタンを押します

• 作成された　「署名リクエスト」　ファイルを保存
• この「署名リクエスト」ファイル signig-request.txt を、公的なSSLサーバー証明書の発行機関へ送付

公的機関で発行された、SSLサーバー証明書を「インポート」します

サーバー証明書＆秘密鍵のエクスポート（1台目のhttpsサーバー）

• 1台目のWebサーバーに登録されている、「サーバー証明書＆秘密鍵」が含まれているssl-certificate.txtを「エクスポート」

サーバー証明書＆秘密鍵のインポート（2台目以降のhttpsサーバー）

• 1台目のWebサーバーから取り出した「証明書＆秘密鍵」が含まれている「ssl-certificate.txt」を2台目以降のWebサーバーへインポート
• 1台目のサーバー証明書と秘密鍵のコピーが2台目にインストールされます

Let’s Encryptの場合

Let’s Encryptは、無償で利用できる公的なSSLサーバー証明書です。Powered BLUE 870 へはフリープラグインを利用して、1台目のWebサーバーへSSLサーバー証明書をインストールします。

　Let’s Encryptのインストール＆セットアップ方法

2台目のWebサーバーへのSSLサーバー証明書のインストールは、上記の「パブリックなSSLサーバー証明書を利用の場合」と同様の操作方法で、1台目から「SSLサーバー証明書と秘密鍵」をエクスポート&2台目へ「SSLサーバー証明書と秘密鍵」をインストールします。

SSLクライアント認証を設定

• 1台目、2台目ともWebアクセス時の 「SSLクライアント認証」 を有効にします

CAからCRL自動入手&更新の設定

• CAからCRL（失効リスト）を自動入手出来る設定をします
• 取得先CA 　ホスト名　( 例　B870-CA.mubit.com )
• 同期結果 「成功」 の場合には、CAからCRLが正常に入手できています
• 2台のリバースプロキシサーバーとも同様の設定を行ないます

アクセスコントロール

有効なSSLクライアント証明書を有している場合でも、Webサイト毎に各種のアクセスコントロールが設定出来ます
失効リスト(CRL)に関わらず、ただちにWebへのアクセス禁止を設定できます
SSLクライアント証明書を失効させることなく、Webへのアクセスを禁止できます

・組織や部門でのアクセス制限
・曜日や時間帯でのアクセス制限
・特定ユーザーでのアクセス制限
・端末を紛失したので、ただちにＡさんのSSLクライアント証明書でのアクセスを禁止

ログの出力先などの指定

SSLクライアント認証時のアクセスログの出力先を指定出来ます

リバースプロキシの設定

1台目、2台目ともリバースプロキシからWebへのリダイレクト先を設定します

設定例　（複数のリダイレクト先を指定できます　）

• WEB1            ⇒　https://10.0.5.31/WEB1/
• WEB2            ⇒　https://10.0.5.32/WEB2/
• WEB3            ⇒　https://10.0.5.37/WEB3/

• activemail   ⇒　https://10.0.5.31/activemail/
• proself        ⇒　https://10.0.5.31/proself/
• owncloud   ⇒　https://10.0.5.31/owncloud/
• cybozu        ⇒　http://10.0.5.32/cybozu/
• dneo           ⇒　http://10.0.5.32/dneo/
• mubit          ⇒　http://www.mubit.com/dir/

Webサーバーの設定

それぞれのWebサーバーへホームページやWebアプリケーションを入れます

B870-Web1 （ https Web サーバーNo1 )

B870-Web2 （ https Web サーバーNo2 )

B870-Web3 （ https Web サーバーNo3 )

リバースプロキシサーバーへのグローバルIPのアサイン

1台目 リバースプロキシ へのIPのアサイン

• B870-REV1 / B870-REV1.mubit.com　/ IP=10.0.5.22   /  IP=133.162.67.20

2台目 リバースプロキシ へのIPのアサイン

• B870-REV2 / B870-REV2.mubit.com　/ IP=10.0.5.27 / IP=133.162.67.25

ロードバランサー ( LBaas  v2) の作成

• ロードバランサ名の設定　（例　LB-master-1　IP=10.0.5.2 ）
• ロードバランサのプロトコル選択（例　プロトコル　TCP　/　ポート443　)
• 分散するサーバーの設定

負荷分散設定

分散プロトコルの設定

• リスナー名　例　lb-https
• プロトコル　HTTPS-HTTPS
• フロントエンドポート　443 (ロードバランサーの受信側ポート）
• 最大接続数　例　2000

負荷分散設定

• プール名　例　https-pool
• 分散アルゴリズム　例　ラウンドロビン
• セッション維持ポリシー　例　SOURCE_IP  (httpsの場合には、この選択のみ可能）
• バックエンドプロトコル　例　HTTPS
• バックエンドポート　例　443

分散先のターゲットWebサーバーの指定

• 1台目 Webサーバー B870-REV1 / 仮想Webサイト名　B870-REV1 ( IP=10.0.5.22 )
• 2台目 Webサーバー B870-REV2 / 仮想Webサイト名　B870-REV2 ( IP=10.0.5.27 )

ヘルスモニタの設定

• チェック方式　例　HTTPS

ヘルスモニターのチェック方式には、 「TCP」または「HTTPS」を指定する必要があります。

ロードバランサーへグローバルIPアドレスの設定

• ロードバランサー   IP=10.0.5.2　/  IP=133.162.67.28 /  LM-master-web.mubit.com

ロードバランサー　NUAGE:VIP IP=10.0.5.2 へグローバル IP=133.162.67.28 をアサインします

グーローバルIPのアサイン状況

• ロードバランサー   IP=10.0.5.2　/  IP=133.162.67.28 /  LM-master-web.mubit.com

• B870-CA                 IP=10.0.5.20   / IP=133.162.67.42 /  B870-CA.mubit.com

• Rev1 / B870-REV1 IP=10.0.5.22  / IP=133.162.67.20 /  B870-REV1.mubit.com
• Rev2 / B870-REV2 IP=10.0.5.27  / IP=133.162.67.25 /  B870-REV2.mubit.com

• Web1 / B870-WEB1 IP=10.0.5.31  / IP=133.162.67.53 /  B870-LBC1.mubit.com
• Web2 / B870-WEB2 IP=10.0.5.32  / IP=133.162.67.54 /  B870-LBC2.mubit.com
• Web3 / B870-WEB3 IP=10.0.5.37  / IP=133.162.67.57 /  B870-LBC3.mubit.com

ロードバランサーにグローバルIPをアサインしても、ロードバランサーの名称は空白のままです。

DNSへの登録

• IP=133.162.67.28 /  LM-master-web.mubit.com　（ロードバランサー名）

Webへのアクセスは、ロードバランサー名のＡレコードで行います

Webサーバー側の設定

1台目　B870-REV1.mubit.com　の設定

ロードバランサーにアサインのサーバーのＡレコード名　LM-master-web.mubit.comでアクセス出来るように 1台目の B870-REV1.mubit.com に

• ウェブサーバーの別名 LM-master-web.mubit.com を指定
•  URLのリライトを無効設定( URLが書き換わらないようにします ）

2台目  B870-REV2.mubit.com　の設定

ロードバランサーにアサインのサーバーのＡレコード名　LM-master-web.mubit.comでアクセス出来るように 2台目の B870-LBC2.mubit.com に

• ウェブサーバーの別名 LM-master-web.mubit.com を指定
•  URLのリライトを無効設定( URLが書き換わらないようにします ）

Ａレコードでのアクセス

https://LM-master-web.mubit.com/web1/

1台目 B870-LBC1 へ　 SSLクライアント認証が通るとWeb　pageが表示されます（URLは書き換わっていません ）

https://LM-master-web.mubit.com/web2/

2台目 B870-LBC2 へ　 SSLクライアント認証が通るとWeb　pageが表示されます（URLは書き換わっていません ）

https://LM-master-web.mubit.com/web3/

3台目 B870-LBC3 へ　 SSLクライアント認証が通るとWeb　pageが表示されます（URLは書き換わっていません ）

SSLクライアント認証例　（承認されない場合）

有効なSSLクライアント証明書が無いクライアントからのアクセスの場合 ( IPhone )

Google Chrome の場合

デモサーバー

Powered BLUEの　　デモサーバー

コンプライアンス対応

クローズドネットワークやオンプレ環境で運用する必要のある場合のビジネスチャットとしては、Slack互換の機能を備えたMattermostは有効な選択枝の一つとなります。

コンパライアンス上、SaaSなどのチャットサービスを利用できない場合でも機密情報や個人情報を組織内に保存でき、ビジネスチャットサービスを運用することができます。

SSLクライアント認証でMattermostへアクセス

Mattermotstでセキュアなアクセスをさせる方法として、SSLクライアント認証でのアクセスがあります。

方法としては

• Mattermostの運用サーバーにSSLクライアント認証を併用させる
• SSLクラアイント認証のリバースプロキシ経由でMattermostのサーバーへアクセスさせる

2つの方法があります。

今回は、SSLクライアント認証対応のリバースプロキシでアクセスさせる方法を紹介します。

Mattermostの全エディションに対応

Mattermostは、無償のTem Edition / E10（AD /LDAP対応）/ E20 （SAML対応）などの各エディションがあります。SSLクライアント認証の機能については全エディションにアドオン出来ます。

設置場所

Mattermostの運用サーバーは、WANやLANの任意の場所に設置が出来ます。

Mattermostへは、SSLクライアント認証対応のリバースプロキシ経由でのアクセスに限定することで、リモートワーク環境でもセキュアなアクセスが可能です。重要情報を扱うビジネスシーンでもSSLクライアント認証経由でのMattermostならセキュアなアクセスが出来ます。

SSLクライアント認証対応のリバースプロキシ

SSLクライアント認証＆Mattermost機能を有しているアプライアンスとして、　Powered BLUE for Mattermost モデルを利用します。すべての機能を1台で運用することが出来ます。

• リバースプロキシ機能
• SSLクライアント認証
• Private-CAによるSSLクライアント証明書発行
• Mattermost機能
• Mail/Web/DNS機能

Mattermostアクセス ポート

リバースプロキシ経由でMattermostへのアクセスの場合には、ユーザーはhttps ポート 443でのアクセスとなります。

• https://xxx.yyy.zzz/

FUJITSU Hybrid IT Service FJcloud-O での構築

「Powered BLUE for Mattermost」を富士通クラウド環境で構築する方法は

　FUJITSU Hybrid IT Service FJcloud-OにCentOS/RedHat対応Powered BLUEをセットアップするを参照してください。

「FUJITSU Hybrid IT Service FJcloud-O」はOpenStackに準拠しており、OpenStack環境のNTT communications社の「SDPF クラウド」や一般的なOpenStackで同様の構成での運用も可能です。

サーバーの設定

サーバー設定や運用からMattermostまでをすべてGUIから設定できます。

リバースプロキシ設定

・リバースプロキシ＋SSLクライアント認証により、Mattermostへ安全にアクセスさせる運用が出来ます

ひとり情シス対応

サーバーの自己監視やパッチのアップデート機能を装備。ひとり情シス環境でも簡単に運用が出来ます、

SSLクライアント認証時のMattermostへのアクセス

ログ機能の強化

コーポレートガバナンスなど企業用途で利用の場合に必要となるMattermostのログの機能を強化することが出来ます。

運用例
・Mattermostのログを任意の期間で保存　（ 例　ログを3年間　保存 ）
・任意キーワードでのトラップ設定　（例　ログインエラーの場合に通知 ）
・社内のログサーバーへMattermostのログを転送

クローズドネットワークでの運用

閉域網でのMattermostの運用にも対応しています

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

FUJITSU Hybrid IT Service FJcloud-Oの特徴は

• OpenStack準拠
• 単一ゾーンでのSLA 99.99%
• アンチ・アフィニティをサポート
• 回線費用は無償（ベストエフォート）
• オブジェクトストレージからのダウンロード費用は無償（ベストエフォート）
• Firewallは無償
• Ansible対応
• OpenStackの標準GUI Horizon対応

などです。

OpenStack準拠

FUJITSU Hybrid IT Service FJcloud-Oはアベイラビリティゾーンとして、OpenStackに準拠のjp-east3 / jp-west3 が選択出来ます。

jp-east3 / jp-west3ではansibleからの操作やOpenStack標準のGUIコンソールHorizonなどからも使用可能です。ansibleでのネットワーク構築からサーバー構築や設定までを一気通関で行なうことが出来ます。

また単一ゾーン構成でのSLA 99.99%をサポートしています。HA構成時に特定の仮想マシンが常に違うホストで実行されるアンチ・アフィニティ機能もサポート。特に支障が無ければ、アベイラビリティゾーンとして jp-east3 / jp-west3 での運用を推奨します。

オブジェクトストレージからのダウンロードに課金されない

FUJITSU Hybrid IT Service FJcloud-Oのネットワークの通信費用は、ベストエフォートの固定料金です。Firewallも標準で付属しており使用に際して、別途の費用は不要です。

またオブジェクトストレージのデータアップロード&ダウンロードにも費用はかかりません ( AWSや他社のクラウドサービスでは、オブジェクトストレージからのダウンロードに課金されます）。

インターネット側の回線もベストエフォートを選択することで、固定の通信費用での運用が出来ます（従量課金ではありません）。

インターネットサーバー

Powered BLUE 870 サーバーは、Mail / Web / DNS などのインターネットサーバー機能を「FUJITSU Hybrid IT Service FJcloud-O」上に構築の1台のPowered BLUE で運用することが出来ます

Powered BLUE 870 サーバー

「FUJITSU Hybrid IT Service FJcloud-O」のCentOS 7.x  などのオフィシャルテンプレートから作成したインスタンスに、Powered BLUE 870のモジュールを組み込んだサーバーを提供します。( RedHat 7.xも選択可能 )

尚Powered BLUEのインストールに際して「FUJITSU Hybrid IT Service FJcloud-O」の基盤側では、以下のrouter,network,firewall,dhcp関連の事前設定が必要です。(通常はdhcp関連の項目は設定済です）

またインストール時には

• WAN側にアクセス出来ること
• DNSはインターネット側の名前を解決出来ること
• Firewall などはポート 22 / 81 / 444 にアクセス出来ること

などが必要です。

上記の設定後に、「FUJITSU Hybrid IT Service FJcloud-O」 で CentOS 7.x もしくはRedHat 7.x デフォルトのインスタンスを作成しておきます。

• サーバー名指定
• サーバータイプ選択
• パブリックイメージ選択　例　CentOS 7.９
• HDD サイズ指定　例　30GB

Fujitsu Cloud Service for OSS（4OSS）上にCentOS7のインスタンス構築設定　例

ご利用者側では、セットアップウィザードからPowered BLUE サーバーの設定を行ないます。

セットアップウイザード開始

http://xxx.yyy.zzz.xyz:444/

クラウド基盤のインスタンスのデフォルトの言語で表示（FJcloud-O は英語がデフォルト）

基本設定

• サーバー名（Host名　Domain名を指定）
• DNS (デフォルトでは、クラウド基盤からアサインされたIPが入っています）
• 管理者のパスワード
• 言語の表示切り替え設定 ( 例 Language で Japaneseを選択 ）
• タイムゾーン（日本時間を選択）

などを設定

プライマリインターフェースのIPアドレスやgatewayは、クラウド基盤側からアサインされたものを変更せずにそのまま利用します

DNSなどは適宜変更可能です。

GUI表示を英語版から日本語へ切り替えます

ウイザードの終了後に、サーバーへ再ログインします

Powere BLUE へログインをします

admin のパスワードは、セットアップウイザードで指定したパスワードを入力します

NTPサーバーの指定

パッチのアップデート

• リストアップされたパッチを「アップデート実行」ボタンを押して適用します
• kernel などをアップデートした場合には、アップデートの終了後にサーバーを再起動してください

パッチの自動更新方法

• パッチアップデートの自動更新での運用に対応（毎時・毎日・毎週など）
• 再起動の必要なモジュールを除外してのパッチアップデートでの運用を指定

例　毎日　0時12分に自動アップデート

例　kernel*   glib* 関連のパッケージはアップデートしない指定

仮想サイトの作成

• 追加ボタンを押します

仮想サイトの設定

• IPアドレス
• ホスト名　ドメイン名
• 各種パラメータ

を設定します

Webサイトを公開

• 仮想サイトのWebを公開する場合、Webサーバーを有効にするにチェックを入れます

セキュリティの指定

運用するWebサイトのバージョン情報の非公開やWebサイトのTLSレベルなどを指定できます

• バージョン情報を公開しない
• PHPヘッダの応答をしない
• Traceメソッドの無効化
• TLSレベルの指定

仮想サイトのWebページへアクセス

• デフォルトのWebページが表示されます
• Webページは、フリープラグンのWordPressなどでの管理も出来ます
• Let’s Encrypt でのWebページのSSLサーバー証明書のインストール＆自動更新に対応

２nd Ethernetの設定

Powered BLUE はデフォルトでは プライマリインターフェース / eth0 のみで動作します。LANからのアクセスの為に2個目以降のインターフェース / eth1を追加することに対応しており、管理GUIへは、LANからのみのアクセスでの運用などが可能です。

ログの長期保存やトラップ（オプション）

syslog サーバーとしても運用が出来ます

• シスログ送信・中継・受信の３モードでの同時運用に対応
• 拠点間のログの安全な送受信
• port指定に対応 ( UDP / TCP / RELP / TLS )
• TLS認証に対応
• 送信キューに対応

• 複数サーバーのログ受信および保存

ログの保存期間 (設定例）

• 受信ログは毎日ローテーション（365日ｘ5年=1825回）を行い、保存期間は5年

Powered BLUE サーバー設定

• FJCloud-O への Powered BLUE サーバー設定後の引き渡しにも対応
• 社内監査対応など

Powered BLUE 870 へのフリープラグインなどのインストール

WordPressのインストール&セットアップ（Webページ作成ツール）

Let’s Encryptのインストール＆セットアップ（Webサイトの常時SSL化）

 Rouncubeのインストールセットアップ（Web Mail)

ownCloudのインストール＆セットアップ　(オンラインストレージ：オブジェクトストレージと連携出来ます）

php7 インストール＆セットアップ

Powered BLUE のカスタムモデル（オプション機能）

プライベートCA / SSLクライアント認証アプライアンス

ワンタイムパスワード認証アプライアンス

リバースプロキシアプライアンス

デモサイト

Powered BLUE 870 のデモサイト

富士通マーケットプレース

FUJITSU Hybrid IT Service FJcloud-O

FUJITSU Hybrid IT Service FJcloud-Oのマーケットプレイス

ご不明な点などは、ムービットの  お問い合わせフォーム からお問い合わせください