既存で運用中の、Proself（プロセルフ）にSSLクライアント認証でアクセスさせる方法です。Powered BLUE Private　CA とリバースプロキシ機能を利用することで、

• 既存で運用中の Proself の変更をすることなく

SSLクライアント認証による2要素認証が簡単に導入が出来ます。

利用する機器などは

• プライベートCA & リバースプロキシ( Powered BLUE Private CA )
• Proself （プロセルフ） を運用のサーバー

です

Powered BLUE プライベートCA上で、SSLのクライアント認証を行います。SSLクライアント認証の通ったユーザーのみを、既存のProself（プロセルフ）サーバーへリダイレクトさせます。 SSLクライアント証明書の発行・認証・管理などは、Powered BLUE プライベートCAで行います。

運用形態としては

• 社内LANからは、従来同様に　Proself 　へ直接アクセス
• 社外WANからは、SSLクライアント認証 / リバースプロキシでのアクセス

など既存環境と併用での運用も出来ます

 

Private CA＆リバースプロキシサーバー側の設定

SSLサーバー証明書の登録

• Webサーバーを運用するサイトへSSLのサーバー証明書を登録します
• 「自己署名デジタル証明書の作成」　または　「署名リクエストの作成」　で作成します

自己署名デジタル証明書の作成の場合　(プライベートSSLサーバー証明書の場合）

• 「自己署名デジタル証明書の作成」から必要事項を記入して、SSLを有効にします
• 自己署名によるSSLのサーバー証明書が登録されます

署名リクエスト / CSR で作成の場合 (パブリックSSLサーバー証明書の場合）

公的なSSLサーバー証明書を登録の場合には、ブラウザへの警告メッセージ

「このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません」

を抑制することが出来ます

SSLのサーバー証明書は

•  ドメイン認証証明書（DV:Domain Validation）
•  組織認証証明書（OV:Organization Validation）
•  EV証明書（EV:Extended Validation）

が登録出来ます

• 必要事項を記入して、　「署名リクエストの作成」　ボタンを押します

SSLサーバー証明書のインポート

• 公的機関で発行された、サーバー証明書を　「インポート」　します
• 中間証明書のインポートにも対応しています

 

CA証明書の作成

• CA証明書の有効期限を設定
• CAのパスワードを設定

以上でCAの構築は終了

 

SSLクライアント証明書の作成

• 全社や部門ごとの一括発行や1枚づつの個別発行も出来ます

SSLクライアント証明書のダウンロード

• ユーザーに証明書をダウンロードさせることも出来ます

SSLクライアント証明書は、利用するブラウザにインストールします

SSLクライアント認証の有効化

[クライアント認証を有効にする] ことで、この仮想サイトへは、有効なSSLクライアント証明書がインストールされた ブラウザのみ、httpsでPrivate CAへアクセスが出来ます。

例　https://PrivateCA の仮想サイト/xxx

リバースプロキシ設定&有効化

プライベート認証局のサイトにアクセスしたクライアントを、SSLクライアント認証後にリバースプロキシで指定したProself サーバーへリダイレクトさせます。

リダイレクトさせるポートは、http/httpsのどちらでも指定出来ます。またプロセルフ以外の他のWebサービスへのリダイレクトも指定出来ます。

例　プロセルフ

• https://PrivateCAのサイト/proself/   －＞　http://www.zyx.co.jp/proself/

例　ownCloud

• https://PrivateCAのサイト/owncloud/   －＞　https://www.zyx.com/owncloud/

例　サイボウズ

• https://PrivateCAのサイト/cybozu/  －＞　https://192.168.10.20/

例　デスクネッツ

• https://PrivateCAのサイト/dneo/  －＞　http://192.168.50.65/dneo

SSLクライアント認証でCAサーバーへのアクセス　-　承認された場合

有効なSSLクライアント証明書がインストールされたブラウザで、初回にアクセス時のブラウザでの表示例（Firefox)

https://Private　CAのサイト/proself/

 SSLクライアント認証　-　承認されない場合

有効なSSLクライアント証明書が無いクライアントからのアクセスの場合 ( IPhone )

https://Private　CAのサイト/proself/

Proselfへのログイン

SSLクライアント認証後　-　リバースプロキシ先のProself（プロセルフ）のログイン画面が表示されます

（2要素認証）

 

Proselfの表示

 

オンラインストレージでのSSLクライアント認証例

• ownCloudへのSSLクライアント認証 ( 別サーバーで運用中のownCloudへの認証 ）
• ownCloudへのSSLクライアント認証 ( オールインワン構成 ）
• FileBlogへのSSLクライアント認証 ( 別サーバーで運用中のFileBlogへの認証 ）

 

ロードバランサ連携

• ロードバランサー経由でのSSLクライアント認証例
• ロードバランサー＆リバースプロキシ経由でのSSLクライアント認証例

 

 

AWS上で　Powered BLUE Private CA　運用したい場合には

• AWSへ登録の　Powered BLUE　 AMI　を選択

 

デモサーバー

Powered BLUEの　　デモサーバー

基本操作 /  リバースプロキシ /  SSLクライアント認証 などのデモが出来ます

 

ワンタイムパスワード認証

Proself（プロセルフ）のWebのサイトへのアクセスに際して、OTP / ワンタイムパスワード対応のWebサイトの構築・運用例です。

• ワンタイムパスワード認証Webの構築&運用

 

多要素認証

ワンタイムパスワード認証&SSLクライアント認証の併用時のWebサイトの構築・運用例です。多要素認証でさらに高い安全性を確保したい場合に有効です

• OTP & SSLクライアント認証の併用Webの構築&運用