リモートワーク対応 / SonicWall の SSL VPN で SSLクライアント認証
外出先から、スマフォやモバイル端末、ノートPCなどから社内の
- ファイルサーバー
- グループウエア
- 業務サーバー
などに、SSLクライアント証明書を利用してセキュアにアクセスさせることが出来ます。
働き方改革などに際して、リモートワークやテレワーク時のスマフォやPCなどの端末からも、ブラウザのみでWebサイトやリモートデスクトップへ簡単&安全にアクセスさせることが出来ます。
SSL VPNを利用したSSLクライアント認証では、ユーザー端末には
- ブラウザ
- SSLクライアント証明書
で利用が出来ます。
SSLクライアント認証を利用することで
- 成り済まし防止
- 端末ごとのアクセスコントロール(例 紛失したスマフォからのアクセス禁止)
などで運用が出来ます。
Powered BLUE Private CAとSonicWallのSSL VPN ( SRA Virtual Appliance / SMA 500v ) を利用して
- SSL-VPアクセス時のSSLクライアント端末認証
- SSL-VPN経由で社内の RDP Sever へアクセス
- SSL-VPN経由で社内の Web Server へアクセス
をする場合の設定例です。
ネットワーク構成
- SSL-VPN ( IP=192.168.100.77 )
- RDP-Server ( IP=192.168.100.130 )
- Web-Server ( IP=192.168.100.140 )
使用した機器
- Powered BLUE Private CA
- SonicWall SSL VPN (SRA-Virtual Appliance / SMA 500v)
- SonicWall SSL-VPNの評価版は以下からダウンロード出来ますhttps://www.mysonicwall.com/
- RDP-Server
- Powered BLUE (Web Server)
SonicWall 社のSSL-VPN製品は
ハードウエアアプライアンス
- SRA 1200 / SRA 4600 / SMA 200 / SMA 400 / SMA 6200 / SMA 7200 / SMA 9000
仮想アプライアンス
- SMA 500V / SMA 8200V
などです。
Sonic Wall のSSL VPNは低価格からのラインアップがあるので、少人数の部署でも導入しやすいこと。また設定や運用が簡単なので、ひとり情室環境でも導入がしやすい事がポイントです。
Powered BLUE Private CAの設定
- CAの設定
- SSLクライアント証明書の発行
- ユーザーにSSLクライアント証明書を配布して、ブラウザへインポートしておきます
- CAのダウンロード
- CRL(失効リスト)はWeb上に配置することも出来ます
Powered BLUE にてCAを設定します
SSLクライアント証明書の発行
プライベートCAでSSLクライアント証明書を発行。クライアント証明書は、会社や部門全体での一括発行や、1ユーザーごとの個別の発行が出来ます。
SSLクライアント証明書のダウンロードも
- 管理者側でのダウンロード
- エンドユーザー側でのダウンロード
に対応しています
SSLクライアント証明書を個別発行の場合(1枚発行の場合)
例 suzuki@mubit.com ユーザーのクライアント証明書を作成
有効期限などを指定して発行します
SSLクライアント証明書をダウンロードします
SSLクライアント証明書のブラウザへのインストール(Firefoxの場合)
「証明書を表示」をクリック
「あなたの証明書」のインポートをクリック
SSLクライアント証明のパスワード入れてインストールします
正常にインポート時の表示
証明書マネージャーにインストールしたクライアント証明書が表示されます
CA証明書のダウンロード
SonicWall SSL-VPNへ登録するためにCA証明書をダウンロードします(xxxx.cert)
CRLのダウンロード
SonicWall SSL-VPNへ登録するためにCRLをダウンロードします
SonicWall VPNの設定
Powered BLUE Private CA からダウンロードしたCertificate (xxxx.cert)の読み込み
System — Certificate –Import CA Certificate でPowered BLUEで作成のxxxx.cert ファイルの読み込み
CRLの読み込み
Powered BLUEで作成の失効リスト(CRL)の読み込み
Web上に配置した失効リスト(CRL) を自動で読み込ませ、定期的にアップデートさせることも出来ます
CRL、定期的にアップデートさせることも出来ます (更新間隔 1時間の設定例)
Powered BLUE Private CA サーバー側では、指定のIP以外からのCRLへのアクセスを禁止させることが出来ます(例 SonicWallからのみCRLへのアクセス許可で運用)
SSLクライアント認証の設定
SSL VPNでのSSLクライアント認証の設定をします
ドメイン全体で、SSLクライアント認証を行なう場合
ポータル > ドメイン > 設定アイコン > クライアント証明書を有効にチェック
(Enable client certificate enforcementにチェック)
特定のユーザーでSSLクライアント認証を行なう場合
ユーザー > ローカルユーザー > ログインポリシー > クライアント証明書を有効
Enable client certificate enforcement: Enable を選択
SSL-VPNでSSLクライアント認証を行ない、RDPサーバーへアクセス
ターミナルサービスとして RDP-HTML5 を選択
User (ブラウザアクセス) ——> SSL-VPN ———> RDP-Server
初回、SSL-VPNへのアクセス時には、証明書の選択を求められます
RDP-HTML5 を選択( BookMark 192.168.100.130:3389 )
rdp でログイン
デスクトップ画面
「Powered BLUE Private CA」の場合には
CA (認証局)の機能に加えて
- Powered BLUE Private CA サーバー上でのSSLクライアント認証機能
- インターネットサーバー機能
- Let’s Encrypt対応
- Webアプリの運用機能
- リバースプロキシ機能
などを有しています
「Powered BLUE Private CA サーバー」の上で、各種Webアプリの同時運用とSSLクライアント認証を処理することが出来ます
「Powered BLUE Private CA サーバー」の1個の仮想サイト「 www.xxx.co.jp 」で以下の
- WordPressを運用 https://www.xxx.co.jp/wordpress
- ownCloudを運用 https://www.xxx.co.jp/ownCloud
- サイボウズを運用 https://www.xxx.co.jp/cybozu/
- デスクネッツを運用 https://www.xxx.co.jp/desknets/
- roundcubeを運用 https://www.xxx.co.jp/roundcube/
- リバースプロキシを運用 https://www.xxx.co.jp/rev-proxy/
サービスを同時に運用&SSLクライアント認証を行なう
Fortigate でのSSL VPN & SSLクライアント認証を行なうことも出来ます
終わりに
SSLクライアント認証でWebサイトの認証を強化したい方。テレワークなどでSSL-VPNの導入を検討している方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。