ownCloudへのアクセスを、SSLクライアント認証で行うことで、パスワードの漏えいやブルートフォースアタックなどの不正アクセスによる、ownCloudへのなりすましログインを防ぐことが出来ます。
Powered BLUE Private CA と ownCloudなどのWebアプリのサーバーを別けて、リバースプロキシ機能を利用して異なるサーバーで運用する場合は、以下の手順となります。既存で運用中のownCloudサーバー側の変更は必要なく、簡単にSSLクライアント認証システムが導入出来ます。
- プライベートCA & リバースプロキシ( Powered BLUE Private CA )
- ownCloud ( 別サーバーで運用 もしくは 既存で運用中 )
ownCloudのインストール
ownCloudのPowered BLUEへのインストール設定については、以下を参照ください。また、通常のLinuxサーバーへownCloudをインストールの場合には、適宜設定を行ってください
ownCloudとプライベートCAを1台のサーバー(同一サーバー)で運用の場合には、以下を参照ください
awsでPowered BLUEを運用したい場合には、以下のAMIをご利用ください
Private CA&リバースプロキシサーバー側の設定
SSLのサーバー証明書の登録
- 「自己署名デジタル証明書の作成」 または 「署名リクエストの作成」 で作成します
パブリックSSLサーバー証明書の場合
公的なサーバー証明書を利用の場合には、ブラウザへの警告メッセージ
「このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません」
を抑制することが出来ます
- 必要事項を記入して、 CSR 作成の「署名リクエストの作成」 ボタンを押します
- 作成された 「署名リクエスト」 ファイルを保存
- この 「署名リクエスト」 ファイル signig-request.txt を、公的なSSLサーバー証明書の発行機関へ送付
- 公的機関で発行された、サーバー証明書を 「インポート」 します
- 中間証明書のインポートにも対応しています
プライベートCAの設定
仮想サイトで、Powered BLUEのプライベートCA機能を有効にして、この仮想サイトの「CA証明書の新規作成」をします。
SSLクライアント証明書の作成
SSLクライアント証明書のダウンロード
SSLクライアント証明書は、利用するブラウザにインストールします
SSLクライアント認証の有効化
[クライアント認証を有効にする] ことで、この仮想サイトへは、有効なSSLクライアント証明書がインストールされた ブラウザのみ、httpsでPrivate CAへアクセスが出来ます。
例 https://PrivateCA の仮想サイト/xxx
リバースプロキシ設定&有効化
プライベート認証局のサイトにアクセスしたクライアントを、SSLクライアント認証後にリバースプロキシで指定したサーバーへリダイレクトさせます。
例 https://PrivateCAのサイト/tag-a/ -> http://www.zyx.co.jp/roundcube/
例 https://PrivateCAのサイト/tag-b/ -> https://www.zyx.com/owncloud/
例 https://PrivateCAのサイト/cybozu/ -> https://192.168.10.20/
SSLクライアント認証でCAサーバーへのアクセス - 承認された場合
有効なSSLクライアント証明書がインストールされたブラウザで、初回にアクセス時のブラウザでの表示例(Firefox)
https://Private CAのサイト/tag-b/
SSLクライアント認証 - 承認されない場合
有効なSSLクライアント証明書が無いクライアントからのアクセスの場合 ( IPhone )
https://Private CAのサイト/tag-b/
ownCloudへのログイン
SSLクライアント認証後 - リバースプロキシ先のownCloudのログイン画面が表示されます
AWS / VMware / Hyper-V などでも運用することも出来ます
AWS上にPowered BLUE ( プライベートCA & Reverse Proxy ) を構築する
デモサーバー
Powered BLUEの サーバーのデモ
Powered BLUE Web Station / 多要素認証&リバースプロキシ
- SSLクライアント認証
- ワンタイムパスワード認証
- リバースプロキシ
- インターネットサーバー機能
までを1台で運用できる Powered BLUE Web Station も選択可能です
Webサイトに対して、SSLクライアント認証&ワンタイムパスワード認証の併用(多要素認証)およびリバースプロキシも同時に運用が出来ます。多要素認証でさらに高い安全性を確保したい場合に有効です。
終わりに
ワンタイムパスワード認証やSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。