Webメール製品のトランスウエア社のActive! mailへSSLクライアント認証を利用してアクセスさせる場合の構成例です。

ユーザーアカウントやパスワードの漏えいなどによる、「なりすまし」ログインを防ぐことが出来ます。Powered BLUE プライベートCAを利用してクライアント証明書を発行します。

（アクティブメールの運用サーバーとプライベート認証局を異なるサーバーで運用の場合）

 

Powered BLUE プライベート CA （認証局） を利用します

• インターネットサーバー機能 (Powered BLUE プライベートCA )
• プライベートCA機能 (Powered BLUE プライベートCA )
• クライアント証明書発行・失効・更新 (Powered BLUE プライベートCA )
• SSLクライアント認証 (Powered BLUE プライベートCA )
• リバースプロキシ (Powered BLUE プライベートCA )
• Active mail (別サーバーで運用　もしくは　既存サーバーで運用 )

などの機能をPowered BLUE Private CA とActive mailの運用サーバーをそれぞれ異なるサーバーで運用する場合の構成例です。

Powered BLUEのインターネットサーバー機能＆リバースプロキシを利用します。既存で運用中のActive mailへのSSLクライアント認証が簡単に構築出来ます。

• 基本的には、Active! Mail側の設定変更は必要ありません

有効なSSLクライアント証明書のないユーザーからは、アクセスできないため、ブルートフォースアタック（パスワード総当たり攻撃）などの、「なりすまし」による不正アクセスを防止します。

 

リバースプロキシでの運用構成

Powered BLUE プライベートCAとリバースプロキシ機能を利用して、クライアント証明書を利用して、別サーバーで運用中のアクティブメールへのクライアント認証をさせることが出来ます。

プライベートCAは、運用者側の管理での独自運用のため

• SSLクライアント証明書の発行・失効・更新などの管理
• リバースプロキシの接続先Webサーバー指定 (複数のWeb接続先の指定も対応）
• プライベート認証局・リバースプロキシは、任意の場所での運用が出来ます

などを、運用者側のポリシーに即して運用が出来ます。

リバースプロキシで運用の場合

• 既存のActive! mail側の設定変更は不要です
• 社内LANからは、従来どうり http でActive! mail へアクセス
• 社外からは、SSLクライアント認証・リバースプロキシ経由で Active! mailへアクセス

などの運用が出来ます

*  リバースプロキシ機能を使用しない場合には、CRLを配布して の参照やActive !Mail 稼働のWebサーバーへのCRL組込みでの運用なども可能です。ロードバランサー経由での運用も出来ます。

 

SSLのサーバー証明書の登録

• 「自己署名デジタル証明書の作成」　または　「署名リクエストの作成」　で作成します

 

パブリックSSLサーバー証明書の場合

公的なサーバー証明書を利用の場合には、ブラウザへの警告メッセージ

「このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません」

を抑制することが出来ます

• 必要事項を記入して、　CSR 作成の「署名リクエストの作成」　ボタンを押します

• 作成された　「署名リクエスト」　ファイルを保存
• この　「署名リクエスト」　ファイル　signig-request.txt を、公的なSSLサーバー証明書の発行機関へ送付

• 公的機関で発行された、サーバー証明書を　「インポート」　します
• 中間証明書のインポートにも対応しています

プライベートCAの設定

仮想サイトで、Powered BLUEのプライベートCA機能を有効にして、この仮想サイトの「CA証明書の新規作成」をします。

SSLクライアント証明書発行

Powered BLUE プライベートCAで、この仮想サイトのSSLクライアント証明書を発行します。クライアント証明書を全社一括での発行なども出来ます。

SSLクライアント証明書のダウンロード

SSLクライアント証明書は、利用するブラウザにインストールします。ユーザーごとに個別にダウンロードさせたり、管理者での一括ダウンロードが出来ます。

SSLクライアント認証の有効化

[クライアント認証を有効にする] ことで、このPowered BLUE の仮想サイトへは、有効なSSLクライアント証明書がインストールされた ブラウザのみ、SSLでActive! mailのサイトへアクセスが出来ます。

例　https://PrivateCA の仮想サイト/xx

リバースプロキシ設定&有効化

プライベート認証局のこの仮想サイトにアクセスしたクライアントを、SSLクライアント認証後にリバースプロキシで指定したサーバーへリダイレクトさせます。

例　https://PrivateCAのサイト/demo/   －＞　http://www.zyx.co.jp/demo/

SSLクライアント認証でCA＆Active mailへのアクセス　-　承認された場合

有効なSSLクライアント証明書がインストールされたブラウザで、アクセス時のブラウザでの表示例（Firefox)

https://192.168.10.67/am_bin/amlogin

または、dnsの設定がされていれば、サイト名でのアクセス

https://activegate.mubit.com/am_bin/amlogin

SSLクライアント認証　-　承認されない場合

有効なSSLクライアント証明書が無いクライアントからのアクセスの場合 ( IPhone )

Active mailのログイン画面

2要素認証 —  Active mailの認証画面

Active Mailへログイン後の画面

Powered BLUE プライベートCAは　VMware / Hyper-V に対応の仮想アプライアンスやaws にも対応しています。

 

サイボウズ・cybozuへのSSLクライアント認証（2要素認証）例

• https://www.mubit.co.jp/pb-blog/?p=515

 

デスクネッツ・desknets’sへのSSLクライアント認証（2要素認証）例

• https://www.mubit.co.jp/pb-blog/?p=547

 

アイポ・AIpoへのSSLクライアント認証（2要素認証）例

• https://www.mubit.co.jp/pb-blog/?p=1212

 

AWS上で　Powered BLUE Private CA　運用したい場合には

• AWSへ登録の　Powered BLUE　 AMI　を選択

 

デモサーバー

Powered BLUEの　　デモサーバー

基本操作 /  リバースプロキシ /  SSLクライアント認証 などのデモが出来ます

 

ワンタイムパスワード認証

Active! mail のWebのサイトへのアクセスに際して、OTP / ワンタイムパスワード対応のWebサイトの構築・運用例です。

• ワンタイムパスワード認証Webの構築&運用

 

多要素認証

ワンタイムパスワード認証&SSLクライアント認証の併用時のWebサイトの構築・運用例です。多要素認証でさらに高い安全性を確保したい場合に有効です

• OTP & SSLクライアント認証の併用Webの構築&運用