既存で運用中の、Proself(プロセルフ)にSSLクライアント認証でアクセスさせる方法です。Powered BLUE Private CA とリバースプロキシ機能を利用することで、
- 既存で運用中の Proself の変更をすることなく
SSLクライアント認証による2要素認証が簡単に導入が出来ます。
利用する機器などは
- プライベートCA & リバースプロキシ( Powered BLUE Private CA )
- Proself (プロセルフ) を運用のサーバー
です
Powered BLUE プライベートCA上で、SSLのクライアント認証を行います。SSLクライアント認証の通ったユーザーのみを、既存のProself(プロセルフ)サーバーへリダイレクトさせます。 SSLクライアント証明書の発行・認証・管理などは、Powered BLUE プライベートCAで行います。
運用形態としては
- 社内LANからは、従来同様に Proself へ直接アクセス
- 社外WANからは、SSLクライアント認証 / リバースプロキシでのアクセス
など既存環境と併用での運用も出来ます
Private CA&リバースプロキシサーバー側の設定
SSLサーバー証明書の登録
- Webサーバーを運用するサイトへSSLのサーバー証明書を登録します
- 「自己署名デジタル証明書の作成」 または 「署名リクエストの作成」 で作成します
自己署名デジタル証明書の作成の場合 (プライベートSSLサーバー証明書の場合)
- 「自己署名デジタル証明書の作成」から必要事項を記入して、SSLを有効にします
- 自己署名によるSSLのサーバー証明書が登録されます
署名リクエスト / CSR で作成の場合 (パブリックSSLサーバー証明書の場合)
公的なSSLサーバー証明書を登録の場合には、ブラウザへの警告メッセージ
「このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません」
を抑制することが出来ます
SSLのサーバー証明書は
- ドメイン認証証明書(DV:Domain Validation)
- 組織認証証明書(OV:Organization Validation)
- EV証明書(EV:Extended Validation)
が登録出来ます
- 必要事項を記入して、 「署名リクエストの作成」 ボタンを押します
SSLサーバー証明書のインポート
- 公的機関で発行された、サーバー証明書を 「インポート」 します
- 中間証明書のインポートにも対応しています
CA証明書の作成
- CA証明書の有効期限を設定
- CAのパスワードを設定
以上でCAの構築は終了
SSLクライアント証明書の作成
- 全社や部門ごとの一括発行や1枚づつの個別発行も出来ます
SSLクライアント証明書のダウンロード
- ユーザーに証明書をダウンロードさせることも出来ます
SSLクライアント証明書は、利用するブラウザにインストールします
SSLクライアント認証の有効化
[クライアント認証を有効にする] ことで、この仮想サイトへは、有効なSSLクライアント証明書がインストールされた ブラウザのみ、httpsでPrivate CAへアクセスが出来ます。
例 https://PrivateCA の仮想サイト/xxx
リバースプロキシ設定&有効化
プライベート認証局のサイトにアクセスしたクライアントを、SSLクライアント認証後にリバースプロキシで指定したProself サーバーへリダイレクトさせます。
リダイレクトさせるポートは、http/httpsのどちらでも指定出来ます。またプロセルフ以外の他のWebサービスへのリダイレクトも指定出来ます。
例 プロセルフ
- https://PrivateCAのサイト/proself/ -> http://www.zyx.co.jp/proself/
例 ownCloud
- https://PrivateCAのサイト/owncloud/ -> https://www.zyx.com/owncloud/
例 サイボウズ
- https://PrivateCAのサイト/cybozu/ -> https://192.168.10.20/
例 デスクネッツ
- https://PrivateCAのサイト/dneo/ -> http://192.168.50.65/dneo
SSLクライアント認証でCAサーバーへのアクセス - 承認された場合
有効なSSLクライアント証明書がインストールされたブラウザで、初回にアクセス時のブラウザでの表示例(Firefox)
https://Private CAのサイト/proself/
SSLクライアント認証 - 承認されない場合
有効なSSLクライアント証明書が無いクライアントからのアクセスの場合 ( IPhone )
https://Private CAのサイト/proself/
Proselfへのログイン
SSLクライアント認証後 - リバースプロキシ先のProself(プロセルフ)のログイン画面が表示されます
(2要素認証)
Proselfの表示
オンラインストレージでのSSLクライアント認証例
- ownCloudへのSSLクライアント認証 ( 別サーバーで運用中のownCloudへの認証 )
- ownCloudへのSSLクライアント認証 ( オールインワン構成 )
- FileBlogへのSSLクライアント認証 ( 別サーバーで運用中のFileBlogへの認証 )
ロードバランサ連携
AWS上で Powered BLUE Private CA 運用したい場合には
デモサーバー
Powered BLUEの デモサーバー
基本操作 / リバースプロキシ / SSLクライアント認証 などのデモが出来ます
ワンタイムパスワード認証
Proself(プロセルフ)のWebのサイトへのアクセスに際して、OTP / ワンタイムパスワード対応のWebサイトの構築・運用例です。
多要素認証
ワンタイムパスワード認証&SSLクライアント認証の併用時のWebサイトの構築・運用例です。多要素認証でさらに高い安全性を確保したい場合に有効です
終わりに
ワンタイムパスワード認証やSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebサイトへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。