月別アーカイブ: 2015年4月

AipoでSSLクライアント認証(リバースプロキシ構成)

オープンソースのグループウェア製品のアイポ(Aipo)へPowered BLUE プライベートCAを利用してクライアント証明書を発行して、SSLクライアント認証で運用時の設定例です。(Aipoの運用サーバーとプライベートCAを異なるサーバーで運用の場合)

Powered BLUE プライベート CA  を利用します

  • インターネットサーバー機能 (Powered BLUE プライベートCA )
  • プライベートCA機能 (Powered BLUE プライベートCA )
  • クライアント証明書発行・失効・更新 (Powered BLUE プライベートCA )
  • SSLクライアント認証 (Powered BLUE プライベートCA )
  • リバースプロキシ (Powered BLUE プライベートCA )
  • Aipo  (別サーバーで運用 )

などの機能をPowered BLUE Private CA とグループウエアAipoの運用サーバーをそれぞれ異なるサーバーで運用する場合の構成例です。Powered BLUEのインターネットサーバー機能&リバースプロキシを利用してします。ユーザーアカウントやパスワードの漏えいなどによる「なりすま し」を防止します。また、有効なSSLクライアント証明書のない利用者からはアクセスできないため、退職した社員の端末からのアクセスやパスワードリスト攻撃・ブルートフォースアタックを完 全にブロックします。

 

リバースプロキシでの運用構成

Powered BLUE プライベートCAとリバースプロキシ機能を利用して、クライアント証明書を利用して、別サーバーで運用中のAipoへのアクセスをSSLクライアント証明書を利用したSSLクライアント認証で運用することが出来ます。

プライベートCAは、運用者側の管理での独自運用のため

  • SSLクライアント証明書の発行・失効・更新などの管理
  • リバースプロキシの接続先Webサーバー指定 (Aipo以外の複数のWeb接続先の指定も対応)

などを、運用者側のポリシーに即して運用が出来ます

リバースプロキシで運用の場合

  • 既存のAipo側の設定変更は不要です
  • 社内LANからは、従来どうり http でAipo へアクセス
  • 社外からは、SSLクライアント認証・リバースプロキシ経由で Aipoへアクセス

などの運用が出来ます

* リバースプロキシ機能を使用しない場合には、CRLを配布して の参照や既存のAipo稼働のWebサーバーへのCRL組込みでの運用なども可能です。

 

SSLのサーバー証明書の登録

  • 「自己署名デジタル証明書の作成」 または 「署名リクエストの作成」 で作成します

パブリックSSLサーバー証明書の場合

公的なサーバー証明書を利用の場合には、ブラウザへの警告メッセージ

「このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません」

を抑制することが出来ます

SSLのサーバー証明書は

  •  ドメイン認証証明書(DV:Domain Validation)
  •  組織認証証明書(OV:Organization Validation)
  •  EV証明書(EV:Extended Validation)

が登録出来ます

  • 必要事項を記入して、 CSR 作成の「署名リクエストの作成」 ボタンを押します

  • 作成された 「署名リクエスト」 ファイルを保存
  • この 「署名リクエスト」 ファイル signig-request.txt を、公的なSSLサーバー証明書の発行機関へ送付

  • 公的機関で発行された、サーバー証明書を 「インポート」 します
  • 中間証明書のインポートにも対応しています

 

プライベートCAの設定

仮想サイトで、Powered BLUEのプライベートCA機能を有効にして、この仮想サイトの「CA証明書の新規作成」をします。

CA証明書の作成

  • CA証明書の有効期限を設定
  • CAのパスワードを設定

 

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2017/05/ca-test2.png

以上でCAの構築は終了

 

SSLクライアント証明書発行

Powered BLUE プライベートCAで、この仮想サイトのSSLクライアント証明書を発行します

SSLクライアント証明書のダウンロード

SSLクライアント証明書は、利用するブラウザにインストールします

SSLクライアント認証の有効化

[クライアント認証を有効にする] ことで、このPowered BLUE の仮想サイトへは、有効なSSLクライアント証明書がインストールされた ブラウザのみ、SSLでAipoのサイトへアクセスが出来ます。

例 https://PrivateCA の仮想サイト/xx

リバースプロキシ設定&有効化

プライベート認証局のこの仮想サイトにアクセスしたクライアントを、SSLクライアント認証後にリバースプロキシで指定したサーバーへリダイレクトさせます。

例 https://PrivateCAのサイト/aipo/   -> http://www.zyx.co.jp:83/

SSLクライアント認証でCA&Aipoへのアクセス - 承認された場合

有効なSSLクライアント証明書がインストールされたブラウザで、初回にアクセス時のブラウザでの表示例(Firefox)

https://192.168.10.66/aipo/

または、dnsの設定がされていれば、サイト名でのアクセス

https://groupware.mubit.com/aipo/

SSLクライアント認証 - 承認されない場合

有効なSSLクライアント証明書が無いクライアントからのアクセスの場合 ( IPhone )

Aipoのログイン画面

2要素認証 —  Aipoの認証画面aipo-1

Aipoへログイン後の表示aipo-2

プライベートCAの 評価環境などの提供も可能です。

 

AWS上で運用したい場合には

 

デモサーバー

Powered BLUEの  デモサーバー

基本操作 /  リバースプロキシ /  SSLクライアント認証 などのデモが出来ます

 

ワンタイムパスワード認証

AipoのWebのサイトへのアクセスに際して、OTP / ワンタイムパスワード対応のWebサイトの構築・運用例です。

https://www.mubit.co.jp/sub/products/blue/img2/otp-21.png

 

多要素認証

ワンタイムパスワード認証&SSLクライアント認証の併用時のWebサイトの構築・運用例です。多要素認証でさらに高い安全性を確保したい場合に有効です

 

終わりに

ワンタイムパスワード認証やSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebサイトへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。