月別アーカイブ: 2015年3月

cloudn上でSSLクライアント認証&リバースプロキシの運用

cloudnで稼働のサーバーでSSLクライアント認証を行い、既存のWebサーバーへリバースプロキシによりリダイレクトさせる構成の説明をします。

今回は、SSLクライアント認証のための、プライベートCAとリバースプロキシを同一のサーバー上で運用するケースです。

既存のWebへのアクセスは、
1)SSLクライアント証明書による認証(プライベートCA)
2)ID/パスワードによる認証(既存のWebサーバー)
の2要素認証のため、ID/パスワードの漏えいやブルートフォースアタック(パスワード総当たり攻撃)によるWebへの不正アクセスに効果を発揮します。

プライベートCAとリバースプロキシを運用するサーバとしては、

を利用します。

Powered BLUE プライベートCA のcloudnへの、テンプレートの登録は、

を‘ご参照ください。

Powered BLUE プライベートCAを利用すると

  • SSLクライアント証明書発行・失効・認証(CA)
  • リバースプロキシ
  • syslogの管理(保存・転送・トラップ・検索・解析)
  • インターネットサーバー機能(Web/Mail/DNS)

を1台の仮想アプライアンスで運用することが出来ます。

PrivateCAサーバーとリバースプロキシが同一の仮想サーバー上にある構成です

 

今回の構成としては

  • プライベートCA&リバースプロキシ

既存のWebサーバーとしては

  • ownCloud (オンラインストレージ)
  • roundcube (ウエブメール)
  • サイボウズ (グループウエア)
  • デスクネッツ (グループウエア)
  • NTTデータイントラマート(ワークフロー)
  • X-point(ワークフロー)
  • 楽々ワークフローII (ワークフロー)
  • eValue NS (ワークフロー)
  • File blog (オンラインストレージ)
  • Aipo (グループウエア)
  • Power egg (ワークフロー)

へのリダイレクトを行います。リバースプロキシではリダイレクト先の複数指定が可能です。また、仮想サイトごとに異なるプライベートCAの構築&運用が出来ます。

仮想サイトのSSL設定

Powered BLUE上のプライベートCAを運用する仮想サイトのSSL及びプライベートCAを有効化します。
自己証明の場合には、適宜必要事項を入力します。商用で販売されているサーバー証明書の登録も出来ます。

 

SSLクライアント証明書を個別発行の場合(1枚発行の場合)

例 suzuki@mubit.com ユーザーのクライアント証明書を作成

有効期限などを指定して発行します

SSLクライアント証明書を個別発行の場合(1枚発行の場合)

例 suzuki@mubit.com ユーザーのクライアント証明書を作成

有効期限などを指定して発行します

SSLクライアント証明書をダウンロードします

 SSLクライアント認証の有効化

[クライアント認証を有効にする] ことで、このPowered BLUE のプライベートCA&リバースプロキシを運用する仮想サイトへは、有効なSSLクライアント証明書がインストールされた ブラウザのみ、SSLでデスクネッツのサイトへアクセスが出来ます。

例 https://PrivateCA の仮想サイト/xx

 リバースプロキシ設定&有効化

プライベート認証局のこの仮想サイトにアクセスしたクライアントを、SSLクライアント認証後にリバースプロキシで指定したサーバーへリダイレクトさせます。

https://PrivateCAのサイト/demo/   -> http://www.zyx.co.jp/demo

https://PrivateCAのサイト/tag-a/   -> http://test.abc.com/.com/

 SSLクライアント証明書のブラウザへのインストール(Firefoxの場合)

「証明書を表示」をクリック

「あなたの証明書」のインポートをクリック

SSLクライアント証明のパスワード入れてインストールします

正常にインポート時の表示

証明書マネージャーにインストールしたクライアント証明書が表示されます

リバースプロキシへアクセス

  • https://xxx.yyy.zzz.uuu/demo

OKボタンを押すと、SSLクライアント認証後にリバースプロキシ先のWebのアクセス画面が表示されます.有効なSSLクライアント証明書の無い場合には、この時点でアクセスが拒否されます

SSLクライアント認証 - 承認されない場合

有効なSSLクライアント証明書が無いクライアントからのアクセスの場合 ( IPhone )

正常に認証された場合、ニ要素認証により

  • SSLクライアント証明書による認証(プライベートCA&リバースプロキシ)
  • ID/パスワードによる認証(Webサーバー側の認証)

ownCloudのログイン画面

roundcubeのログイン画面

サイボウの認証画面

デスクネッツのログイン画面

NTTデータイントラマートのログイン画面

X-pointのログイン画面

楽々ワークフローIIのログイン画面

eValue NSのログイン画面

FileBlogのログイン画面

Aipoのログイン画面https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/04/aipo-1.png

Power eggのログイン画面powere-egg-1

 

デモサーバー

Powered BLUEの  デモサーバー

基本操作 /  リバースプロキシ /  SSLクライアント認証 などのデモが出来ます

 

ワンタイムパスワード認証

Webのサイトへのアクセスに際して、OTP / ワンタイムパスワード対応のWebサイトの構築・運用例です。

https://www.mubit.co.jp/sub/products/blue/img2/otp-21.png

 

多要素認証

ワンタイムパスワード認証&SSLクライアント認証の併用時のWebサイトの構築・運用例です。多要素認証でさらに高い安全性を確保したい場合に有効です

 

終わりに

ワンタイムパスワード認証やSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebサイトへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。