cloudn上で運用の仮想サーバーのroundcubeへのアクセスに際して、SSLクライアント認証を行う方法を解説します。今回は、SSLクライアント認証のための、プライベートCAとroundcubeを同一のサーバー上で運用するケースです。
Roundcubeへのアクセスは、
1)SSLクライアント証明書による認証
2)ID/パスワードによる認証
の2要素認証のため、ID/パスワードの漏えいやブルートフォースアタック(パスワード総当たり攻撃)によるWebへの不正アクセスに効果を発揮します。
roundcubeやプライベートCAを運用するサーバとしては、
を利用します。
Powered BLUE プライベートCA のcloudnへの、テンプレートの登録は、
を‘ご参照ください。
Powered BLUE プライベートCAを利用すると
- roundcubeの運用
- SSLクライアント証明書発行・失効・認証(CA)
- syslogの管理(保存・転送・トラップ・検索・解析)
- インターネットサーバー機能(Web/Mail/DNS)
を1台の仮想アプライアンスで運用することが出来ます。
PrivateCAサーバーとRoundcubeが同一の仮想サーバー上にある場合の構成例です
仮想サイトのSSL設定
RoundCubeを運用している仮想サイトのSSLを有効化します。
自己証明の場合には、適宜必要事項を入力します。商用で販売されているサーバー証明書の登録も出来ます。
仮想サイトのSSL有効化
「SSLを有効にする」 にチェックを入れて、この仮想サイトのSSLを有効にします。
仮想サイトへのアクセスに際して、SSLでのアクセスが出来ます。
https://仮想サイト名/webmail
SSLクライアント証明書の発行
プライベートCA機能を有効にしてSSLクライアント証明書を発行します。クライアント証明書は、会社や部門全体での一括発行や1ユーザーごとの個別の発行が出来ます。
SSLクライアント証明書の発行・失効などは随時出来ます。
SSLクライアント証明書が作成されました
SSLクライアント証明書のダウンロード
SSLクライアント認証の有効化
[クライアント認証を有効にする] ことで、この仮想サイトへは、有効なSSLクライアント証明書がインストールされた ブラウザのみ、httpsでRoundcubeへアクセスが出来ます。
例 https://仮想サイト/webmail
SSLクライアント認証 - 承認された場合
有効なSSLクライアント証明書がインストールされたブラウザで、アクセス時のブラウザでの表示(Firefox)
例 https://仮想サイト/webmail
SSLクライアント認証 - 承認されない場合
SSLクライアント証明書が無いクライアントからのアクセスの場合
iPhoneでの表示
例 https://仮想サイト/webmail
SSLクライアント認証後 - ログイン画面が表示されます
ログ
ログドライバの指定によりroundcubeのログを
- roundcubeデフォルトのファイル
- syslogの指定ファイル
へ落とすことが出来ます。
Powered BLUEサーバーの有するログ機能の設定方法については
をご参照ください。
デモサーバー
Powered BLUEの デモサーバー
基本操作 / リバースプロキシ / SSLクライアント認証 などのデモが出来ます
ワンタイムパスワード認証
Webのサイトへのアクセスに際して、OTP / ワンタイムパスワード対応のWebサイトの構築・運用例です。
多要素認証
ワンタイムパスワード認証&SSLクライアント認証の併用時のWebサイトの構築・運用例です。多要素認証でさらに高い安全性を確保したい場合に有効です
終わりに
ワンタイムパスワード認証やSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebサイトへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。