リモートワーク対応 / SonicWall の SSL VPN で SSLクライアント認証

外出先から、スマフォやモバイル端末、ノートPCなどから社内の

• ファイルサーバー
• グループウエア
• 業務サーバー

などに、SSLクライアント証明書を利用してセキュアにアクセスさせることが出来ます。

働き方改革などに際して、リモートワークやテレワーク時のスマフォやPCなどの端末からも、ブラウザのみでWebサイトやリモートデスクトップへ簡単&安全にアクセスさせることが出来ます。

 

SSL VPNを利用したSSLクライアント認証では、ユーザー端末には

• ブラウザ
• SSLクライアント証明書

で利用が出来ます。

 

SSLクライアント認証を利用することで

• 成り済まし防止
• 端末ごとのアクセスコントロール（例  紛失したスマフォからのアクセス禁止）

などで運用が出来ます。

Powered BLUE Private CAとSonicＷallのSSL VPN　( SRA Virtual Appliance / SMA 500v ) を利用して

• SSL-VPアクセス時のSSLクライアント端末認証
• SSL-VPN経由で社内の RDP Sever へアクセス
• SSL-VPN経由で社内の Web Server へアクセス

 

をする場合の設定例です。

ネットワーク構成

• SSL-VPN ( IP=192.168.100.77 )
• RDP-Server ( IP=192.168.100.130 )
• Web-Server ( IP=192.168.100.140 )

 

使用した機器

• Powered BLUE Private CA
• SonicWall SSL VPN (SRA-Virtual Appliance / SMA 500v)
• SonicWall SSL-VPNの評価版は以下からダウンロード出来ますhttps://www.mysonicwall.com/
• RDP-Server
• Powered BLUE (Web Server)

 

SonicWall 社のSSL-VPN製品は

ハードウエアアプライアンス

• SRA 1200 / SRA 4600 / SMA 200 / SMA 400 / SMA 6200 / SMA 7200 / SMA 9000

仮想アプライアンス

•  SMA 500V / SMA 8200V

などです。

Sonic Wall のSSL VPNは低価格からのラインアップがあるので、少人数の部署でも導入しやすいこと。また設定や運用が簡単なので、ひとり情室環境でも導入がしやすい事がポイントです。

 

Powered BLUE Private CAの設定

• CAの設定
• SSLクライアント証明書の発行
• ユーザーにSSLクライアント証明書を配布して、ブラウザへインポートしておきます
• CAのダウンロード
• CRL（失効リスト）はWeb上に配置することも出来ます

Powered BLUE にてCAを設定します

SSLクライアント証明書の発行

プライベートCAでSSLクライアント証明書を発行。クライアント証明書は、会社や部門全体での一括発行や、１ユーザーごとの個別の発行が出来ます。

SSLクライアント証明書のダウンロードも

• 管理者側でのダウンロード
• エンドユーザー側でのダウンロード

に対応しています

SSLクライアント証明書を個別発行の場合（1枚発行の場合）

例　suzuki@mubit.com ユーザーのクライアント証明書を作成

有効期限などを指定して発行します

SSLクライアント証明書をダウンロードします

SSLクライアント証明書のブラウザへのインストール(Firefoxの場合）

「証明書を表示」をクリック

「あなたの証明書」のインポートをクリック

SSLクライアント証明のパスワード入れてインストールします

正常にインポート時の表示

証明書マネージャーにインストールしたクライアント証明書が表示されます

CA証明書のダウンロード

SonicWall SSL-VPNへ登録するためにCA証明書をダウンロードします（xxxx.cert)

CRLのダウンロード

SonicWall SSL-VPNへ登録するためにCRLをダウンロードします

 

SonicWall VPNの設定

Powered BLUE  Private CA からダウンロードしたCertificate (xxxx.cert)の読み込み

System — Certificate –Import CA Certificate でPowered BLUEで作成のxxxx.cert ファイルの読み込み

 

CRLの読み込み

Powered BLUEで作成の失効リスト(CRL)の読み込み

 

Web上に配置した失効リスト(CRL) を自動で読み込ませ、定期的にアップデートさせることも出来ます

CRL、定期的にアップデートさせることも出来ます　（更新間隔　1時間の設定例）

Powered BLUE Private CA サーバー側では、指定のIP以外からのCRLへのアクセスを禁止させることが出来ます（例　SonicWallからのみCRLへのアクセス許可で運用）

SSLクライアント認証の設定

SSL　VPNでのSSLクライアント認証の設定をします

ドメイン全体で、SSLクライアント認証を行なう場合

ポータル　>  ドメイン　>　設定アイコン　>　クライアント証明書を有効にチェック

(Enable client certificate enforcementにチェック）

特定のユーザーでSSLクライアント認証を行なう場合

ユーザー　>  ローカルユーザー　>　ログインポリシー　>　クライアント証明書を有効

Enable client certificate enforcement:  Enable を選択

 

SSL-VPNでSSLクライアント認証を行ない、RDPサーバーへアクセス

ターミナルサービスとして　RDP-HTML5 を選択

 

User　（ブラウザアクセス） ——> SSL-VPN  ———> RDP-Server

 

初回、SSL-VPNへのアクセス時には、証明書の選択を求められます

RDP-HTML5 を選択( BookMark   192.168.100.130:3389 )

rdp でログイン

 

デスクトップ画面

「Powered BLUE Private CA」の場合には

CA （認証局）の機能に加えて

• Powered BLUE Private CA サーバー上でのSSLクライアント認証機能
• インターネットサーバー機能
• Let’s Encrypt対応
• Webアプリの運用機能
• リバースプロキシ機能

などを有しています

「Powered BLUE Private CA サーバー」の上で、各種Webアプリの同時運用とSSLクライアント認証を処理することが出来ます

「Powered BLUE Private CA サーバー」の1個の仮想サイト「 www.xxx.co.jp 」で以下の

• WordPressを運用              https://www.xxx.co.jp/wordpress
• ownCloudを運用                https://www.xxx.co.jp/ownCloud
• サイボウズを運用               https://www.xxx.co.jp/cybozu/
• デスクネッツを運用　　　https://www.xxx.co.jp/desknets/
• roundcubeを運用　　　   https://www.xxx.co.jp/roundcube/
• リバースプロキシを運用   https://www.xxx.co.jp/rev-proxy/

サービスを同時に運用＆SSLクライアント認証を行なう

 

Powered BLUE Private CA

Powered BLUE リバースプロキシ

Powered BLUE のデモサイト

Fortigate でのSSL VPN & SSLクライアント認証を行なうことも出来ます

 

終わりに

SSLクライアント認証でＷebサイトの認証を強化したい方。テレワークなどでSSL-VPNの導入を検討している方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。