cloudnで稼働のサーバーでSSLクライアント認証を行い、既存のWebサーバーへリバースプロキシによりリダイレクトさせる構成の説明をします。
今回は、SSLクライアント認証のための、プライベートCAとリバースプロキシを同一のサーバー上で運用するケースです。
既存のWebへのアクセスは、
1)SSLクライアント証明書による認証(プライベートCA)
2)ID/パスワードによる認証(既存のWebサーバー)
の2要素認証のため、ID/パスワードの漏えいやブルートフォースアタック(パスワード総当たり攻撃)によるWebへの不正アクセスに効果を発揮します。
プライベートCAとリバースプロキシを運用するサーバとしては、
を利用します。
Powered BLUE プライベートCA のcloudnへの、テンプレートの登録は、
を‘ご参照ください。
Powered BLUE プライベートCAを利用すると
- SSLクライアント証明書発行・失効・認証(CA)
- リバースプロキシ
- syslogの管理(保存・転送・トラップ・検索・解析)
- インターネットサーバー機能(Web/Mail/DNS)
を1台の仮想アプライアンスで運用することが出来ます。
PrivateCAサーバーとリバースプロキシが同一の仮想サーバー上にある構成です
今回の構成としては
- プライベートCA&リバースプロキシ
既存のWebサーバーとしては
- ownCloud (オンラインストレージ)
- roundcube (ウエブメール)
- サイボウズ (グループウエア)
- デスクネッツ (グループウエア)
- NTTデータイントラマート(ワークフロー)
- X-point(ワークフロー)
- 楽々ワークフローII (ワークフロー)
- eValue NS (ワークフロー)
- File blog (オンラインストレージ)
- Aipo (グループウエア)
- Power egg (ワークフロー)
へのリダイレクトを行います。リバースプロキシではリダイレクト先の複数指定が可能です。また、仮想サイトごとに異なるプライベートCAの構築&運用が出来ます。
仮想サイトのSSL設定
Powered BLUE上のプライベートCAを運用する仮想サイトのSSL及びプライベートCAを有効化します。
自己証明の場合には、適宜必要事項を入力します。商用で販売されているサーバー証明書の登録も出来ます。
SSLクライアント証明書を個別発行の場合(1枚発行の場合)
例 suzuki@mubit.com ユーザーのクライアント証明書を作成
有効期限などを指定して発行します
SSLクライアント証明書を個別発行の場合(1枚発行の場合)
例 suzuki@mubit.com ユーザーのクライアント証明書を作成
有効期限などを指定して発行します
SSLクライアント証明書をダウンロードします
SSLクライアント認証の有効化
[クライアント認証を有効にする] ことで、このPowered BLUE のプライベートCA&リバースプロキシを運用する仮想サイトへは、有効なSSLクライアント証明書がインストールされた ブラウザのみ、SSLでデスクネッツのサイトへアクセスが出来ます。
例 https://PrivateCA の仮想サイト/xx
リバースプロキシ設定&有効化
プライベート認証局のこの仮想サイトにアクセスしたクライアントを、SSLクライアント認証後にリバースプロキシで指定したサーバーへリダイレクトさせます。
例
https://PrivateCAのサイト/demo/ -> http://www.zyx.co.jp/demo
https://PrivateCAのサイト/tag-a/ -> http://test.abc.com/.com/
SSLクライアント証明書のブラウザへのインストール(Firefoxの場合)
「証明書を表示」をクリック
「あなたの証明書」のインポートをクリック
SSLクライアント証明のパスワード入れてインストールします
正常にインポート時の表示
証明書マネージャーにインストールしたクライアント証明書が表示されます
リバースプロキシへアクセス
- https://xxx.yyy.zzz.uuu/demo
OKボタンを押すと、SSLクライアント認証後にリバースプロキシ先のWebのアクセス画面が表示されます.有効なSSLクライアント証明書の無い場合には、この時点でアクセスが拒否されます
SSLクライアント認証 - 承認されない場合
有効なSSLクライアント証明書が無いクライアントからのアクセスの場合 ( IPhone )
正常に認証された場合、ニ要素認証により
- SSLクライアント証明書による認証(プライベートCA&リバースプロキシ)
- ID/パスワードによる認証(Webサーバー側の認証)
ownCloudのログイン画面
roundcubeのログイン画面
サイボウの認証画面
デスクネッツのログイン画面
NTTデータイントラマートのログイン画面
X-pointのログイン画面
楽々ワークフローIIのログイン画面
eValue NSのログイン画面
FileBlogのログイン画面
Aipoのログイン画面
Power eggのログイン画面
デモサーバー
Powered BLUEの デモサーバー
基本操作 / リバースプロキシ / SSLクライアント認証 などのデモが出来ます
ワンタイムパスワード認証
Webのサイトへのアクセスに際して、OTP / ワンタイムパスワード対応のWebサイトの構築・運用例です。
多要素認証
ワンタイムパスワード認証&SSLクライアント認証の併用時のWebサイトの構築・運用例です。多要素認証でさらに高い安全性を確保したい場合に有効です
終わりに
ワンタイムパスワード認証やSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebサイトへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。