パブリックCA / 認証局で発行されたクライアント証明書を利用してSSLクライアント認証を行なう
認証局には、パブリックCAとプライベートCAの2つがあります。今回はパブリックCAで発行されたクライアント証明書を利用しての、SSLクライアント認証の方法です。
パブリックなクライアント証明書は
- Webへのアクセス時のSSLクライアント認証
- メールへの署名、暗号化
などの用途でも利用が出来ます
今回、利用する製品・サービスは
- CA / グローバルサインの「マネージドPKI Lite」
- クライアント認証サーバー / 「Powered BLUE SSLクライアント認証」
です
グローバルサインの「マネージドPKI Lite」は、
- グローバルサインのCA基盤を利用
- クラウド型の認証局サービス
- SaaSとして提供
されています
利用者は、SSLクライアント証明書の発行・管理について
- ポータル画面から操作
- 証明書の発行・失効は随時
- クライアント証明書は、公的な(パブリック)証明書として利用
などが可能です
「Powered BLUE SSLクライアント認証」サーバーは
- パブリックCA (グローバルサイン/ UPKI / 他 )
- プライベートCA (Powered BLUE / Windows / 他)
などの認証局で発行された、クライアント証明書の「SSLクライアント認証」に対応のアプライアンスサーバーです。
今回は、グローバルサインの「マネージドPKI Lite」を利用して発行されたパブリックなクライアント証明書を用いて、Webアクセス時の「SSLクライアント認証」を行なう際の設定例です。
サーバーの機能としては
- SSLクライアント認証
- リバースプロキシ
- インターネットサーバー(Web/Mail/DNS)
- マルチドメイン・SNI (Server Name Indication) 対応
- Let’s Encrypt 対応
- ownCloud対応
- Roundcube 対応
- WordPress対応
などの機能を有しており、各Webアプリへのクライアント認証を1台のPowered BLUE 上で運用することが出来ます
例 1個の仮想サイト www.xyz.com 内で以下のサービスを併用運用が出来ます。それぞれのWebサービスに対して
- 一般WebへのSSLクライアント認証
- WordPressへのSSLクライアント認証
- ownCloudへのSSLクライアント認証
- RoundcubeへのSSLクライアント認証
- サードパーティアプリへのSSLクライアント認証(サイボウズ・デスクネッツ・他)
- リバースプロキシへのSSLクライアント認証
での運用に対応しています
SSLクライアント認証のメリット
Webサイトの常時SSL化に伴い、アクセス時の認証がID&パスワードだけの場合には、延々にアタックを受ける事態も想定されます。SSLクライアント認証を併用の場合には、認証の順序として
- 1番目 / SSLクライアント認証
- 2番目 / ID&パスワード認証
となります。正当なSSLクライアント証明書を有していないユーザーは、1番目の段階ではじかれるために、2番目のID&パスワード認証まで到達しません。
有効なクライアント証明書のない場合の表示例
https://www.xxx.yyy.co.jp/
サーバーの設定
サーバー設定は全てGUIから行います。ウィザードに従い設定をします
失効リスト(CRL) / 自動取得&自動アップデートにより、管理者の負担を軽減します
SSLクライアント認証時のWebへのアクセス時の条件として、
- 部門 / 人事部と開発部からのアクセスを許可
- 曜日 / 月曜日から金曜日はアクセスを許可
- 時間 / 10:00 – 18:00 はアクセス許可
などのコントロールが出来ます。
またクライアント証明書を失効させることなくアクセスを拒否するなどの設定も可能です。
例 Aさんが端末を無くしたので、直ちにアクセスを禁止
(失効させていないので、端末が無事に戻れば証明書をそのまま使うことも出来ます)
SSLクライアント認証のアクセスログ
SSLクライアント認証時のアクセスログを指定先へ出力できます
SNI 対応
SNI (Server Name Indication) に対応。、固定IPアドレスが1個でも複数のWebサイトをSSL化での運用が出来ます。
IPアドレスが増やせない環境でも、全Webサイトをhttps/SSL化での運用が可能。
googleなどの検索サイトの評価にも、全WebサイトをSSL化で対応します。
例 IP=1で運用のサーバー、仮想サイト20個を全てWebのSSL化&SSLクライアント認証で運用
リバースプロキシ
リバースプロキシ機能を有しており、既存のWebサービスへのSSLクライアント認証の連携や導入が簡単です。
例 SSLクライアント認証後に既存で運用のWeb へリダイレクトさせる
リダイレクト先のWebアプリ 例
- サイボウズ・デスクネッツ・イントラマートワークフロー
- X-point・eValue NS
- Active! mail・Powere egg・Aipo・Proself・FileBlog
- ownCloud・楽々Workflow II など
インターネットサーバー機能
インターネットサーバー機能により、複数の仮想サイトの運用・それぞれの仮想サイトへのSSLクライアイント認証での運用も出来ます。Web Mail (Roundcube) / オンラインストレージ(ownCloud)/グループウエア(サイボウズ・デスクネッツ)などを「Powered BLUE SSLクライアント認証」サーバー上で運用して、「SSLクライアント認証を行なう」なども可能です。
ロードバランサー連携例
ロードバランサーでは、SSL通信をスルーさせます
リバースプロキシの冗長化
リバースプロキシ側でSSLクライアント認証
既存のWeb側での変更は必要ありません
「Powered BLUE SSLクライアント認証」サーバーの運用先としては
- Amazon Web Services ( AWS )
- Azure
- Fujitsu Cloud Service for OSS (Fujitsu)
- EnterPrise Cloud (NTT Communications)
- WebARENA (NTTPC コミュニケーションズ)
- スマートコネクトVPS( NTTスマートコネクト)
- ALTUS (GMOクラウド)
- クラウド環境
- 仮想環境 VMware / Hyper-V
での運用に対応しています。
デモサイト
終わりに
SSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebサイトへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。