Fujitsu Cloud Service for OSS(4OSS)にプライベート認証局(CA)を構築 & SSLクライアント認証をする / はじめの一歩

富士通の運用する OpenStack ベースの Fujitsu Cloud Service for OSS(4OSS) 上にプライベートCAを構築して、Webページへのアクセス時にSSLクライアント認証をします。また既存のWebサービスへの認証には、リバースプロキシ/Reverse Proxy 経由で認証&リダイレクトでの運用を行ないます。一般的なOpenStackで同様の構成でのPrivate CAの運用も可能です。

例  Web / WordPress / ownCloud / Roundcube / などのWebページへのSSLアクセス認証

 

Private CA 機能の他に、SSLクライアント認証やリバースプロキシ-機能を持つPowered BLUE Private CA を利用します。サーバーの設定は全てGUIからの操作に対応しており、証明書の発行、失効なども簡単に自社管理での運用が出来ます。Let’s Encryptにも対応しており、WebサイトのSSLサーバー証明書の自動更新での運用も可能です。

Powered BLUE Private CA の 機能

  • プライベート CA (プライベート認証局)
  • SSLクライアント認証
  • Mail / Web / DNS  サーバー
  • Webサイト
  • WordPress
  • ownCloud / オンラインストレージ  ( バックアップ機能付き )
  • Roundcube / Webmail
  • Let’s Encrypt 対応
  • リバースプロキシー

などを1台のPowered BLUE Private CAで同時に運用出来ます。

運用例

仮想サイト A.co.jp  で以下のWeb サービスを同時に運用。既存環境にも簡単に導入が出来るため、働き方改革によるリモートワークやテレワークの実現をサポート。

  • Let’s Encrypt でサイトのSSLサーバー証明書を利用
  • WordPressで一般向けWebを運用 (SSLクライアント認証なし)
  • WordPressで社員用Webを複数運用 (SSLクライアント認証)
  • ownCloud を運用 (SSLクライアント認証)
  • Roundcube を運用 (SSLクライアント認証)
  • リバースプロキシを運用 (SSLクライアント認証)

など

 

CA/リバースプロキシを分離での運用にも対応

別サーバーで運用のCAとの連携も出来ます

 

Fujitsu Cloud Service for OSS (4OSS)」の特徴は

  • OpenStack準拠
  • Ansible/Horizonからコントロール可能
  • 単一ゾーンでのSLA 99.99%
  • アンチ・アフィニティをサポート
  • オブジェクトストレージからのダウンロードにも費用がかからない
  • 回線費用は無償(ベストエフォート)

などです。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/09/k5-21.png

Fujitsu Cloud Service for OSS (4OSS)上へのPowered BLUEのセットアップは以下も参照のこと

 「Fujitsu Cloud Service for OSS(4OSS)」上にCentOS 7のインスタンス構築設定

 「Fujitsu Cloud Service for OSS(4OSS)」上へのPowered BLUEのセットアップ

 

Powered BLUE Private CAの設定

サーバー起動後に、GUIでウイザードを実行します。GUIへのアクセスポートは http 81 / 444 番です firewallには TCP 81/444番 を通過させる設定が必要です

サーバーへのアクセス 例 http://54.65.17.7:444

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/01/aws-ami-wizard11.png

管理サーバー名などを入力します

DNS などはEnterprise Cloudのデフォルトで設定されたものでも構いません。自社で独自に構築するのであれば、適宜指定します。

サーバーのIP/Gatewayなどは、変更せずにこのまま利用します。

adminのパスワードを入力します。

Languageに日本語を選択すると、GUIの表示は日本語となります。

Time-Zoneなどを適宜選択します。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/01/aws-ami-wizard32.png

ウイザードの終了後に、サーバーへ再ログインします。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/01/aws-pb-login11.png

管理サイト サーバー名等を設定します。

aws-pb-login2

NTPサーバーを指定します

aws-pb-login22

プライベートCAの構築

プライベートCAを運用する仮想サイトを設定します

ca-test3

CA証明書の作成

  • CA証明書の有効期限を設定
  • CAのパスワードを設定

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2017/05/ca-test2.png

以上でCAの構築は終了

 

SSLクライアント証明書の発行

プライベートCAでSSLクライアント証明書を発行。クライアント証明書は、会社や部門全体での一括発行や、1ユーザーごとの個別の発行が出来ます。

SSLクライアント証明書を個別発行の場合(1枚発行の場合)

例 suzuki@mubit.com ユーザーのクライアント証明書を作成

有効期限などを指定して発行します

有効期間やポリシーを設定して、「部門や全社員の一括発行」なども対応しています。

SSLクライアント証明書をダウンロードします

ユーザーが個別に、発行されたSSLクライアント証明書をURL通知でダウンロードさせることも出来ます。

SSLクライアント証明書のブラウザへのインストール(IEの場合)

ツール - インターネットオプション - コンテンツ - 証明書 を選択

https://www.mubit.co.jp/products/blue/imgs/image.jpg

個人のタグを選択

個人の証明書ストアへインポートします

 

 

 

 

 

 

 

 

SSLクライアント認証の設定

Private CAとWebサーバーを同一の仮想サイトで運用の場合

  • 例 ca-test.mubit.jp で運用の場合

SSLサーバー証明書の登録

  • Webサーバーを運用するサイトへSSLのサーバー証明書を登録します
  • 「自己署名デジタル証明書の作成」 または 「署名リクエストの作成」または https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Let’s Encrypt対応 で作成します。

自己署名デジタル証明書の作成の場合 (プライベートSSLサーバー証明書の場合)

  • 「自己署名デジタル証明書の作成」から必要事項を記入して、SSLを有効にします
  • 自己署名によるSSLのサーバー証明書が登録されます。

署名リクエスト / CSR で作成の場合 (パブリックSSLサーバー証明書の場合)

公的なSSLサーバー証明書を登録の場合には、ブラウザへの警告メッセージ

「このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません」

を抑制することが出来ます

SSLのサーバー証明書は

  •  ドメイン認証証明書(DV:Domain Validation)
  •  組織認証証明書(OV:Organization Validation)
  •  EV証明書(EV:Extended Validation)

が登録出来ます

  • 必要事項を記入して、 「署名リクエストの作成」 ボタンを押します

 

SSLサーバー証明書のインポート公的機関で発行された、サーバー証明書を 「インポート」 します

  • 中間証明書のインポートにも対応しています
  • https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Let’s Encrypt対応(Let’s EncryptのSSLサーバー証明書も組み 込めます
  • https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif  SNI対応 (IPアドレス1個で複数のWebサイトのSSL化)

 

SSLクライアント認証を有効

https://ca-test.mubit.jp へアクセス時のSSLサイトのクライアント認証を有効にしますca-test4

 

Web Page  https://ca-test.mubit.jp へのアクセス

SSLクライアント認証が有効の場合 / Web ページへアクセスが出来ます

ca-test6

グループウエアへのアクセス例
SSLクライアント証明書が有効の場合

https://www.mubit.co.jp/sub/products/ca/img2/desknets0.png

SSLクライアント認証が無効の場合

 

Private CAとWebサーバーを異なるサイトで運用の場合

Webサービス用の仮想サイトを構築します

例 test-web.mubit.jp

ca-test7

test-web.mubi.jp サイトからPrivate-CA の運用サイト http://ca-test.mubit,.jp  とのcrl (失効リスト)の同期設定を行ないます

Webサーバーを運用するサイトには、SSLのサーバー証明書をインストールします

 

 

リバースプロキシ連携の場合

 

別サーバーで運用中のWebサーバーへのアクセス時にSSLクライアント認証

desknets / サイボウズ へのリバースプロキシの設定例

既存で運用中のWebサーバー(デスクネッツ/ サイボウズ)側の変更は不要です

 

既存のWebサービスとの連携

リバースプロキシによるSSLクライアント認証と既存のWebサービスとの連携の例 /多要素認証

  • MosP勤怠管理/MosP人事管理/MosP給与計算
  • NTTデータ イントラマートワークフロー
  • エイトレッド X-point
  • NIコラボスマート
  • 楽々Workflow II
  • eValue NS
  • サイボウズ
  • デスクネッツ
  • Active! mail
  • Powere egg
  • RoundCube
  • Aipo
  • WaWaOffice
  • Seagull Office
  • OpenWebMail
  • Zabbix
  • Proself
  • FileBlog

https://www.mubit.co.jp/sub/products/ca/img2/reverse-01.png

リバースプロキシ設定&有効化

Private-CA を運用のサイトでリバースプロキシも運用します

プライベート認証局のこの仮想サイトにアクセスしたクライアントを、SSLクライアント認証後にリバースプロキシで指定したサーバーへリダイレクトさせます。

例 https://PrivateCAのサイト/demo/   -> http://www.zyx.co.jp/demo/

SSLクライアント認証でCA&デスクネッツへのアクセス - 承認された場合

有効なSSLクライアント証明書がインストールされたブラウザで、初回にアクセス時のブラウザでの表示例 (Firefox)

https://ca-test.mubit.jp/dneo/dneo.cgi

SSLクライアント認証後のMosP勤怠管理のログイン画面

2要素認証 —  MosPの認証画面

MosPへログイン後の画面

SSLクライアント認証後のdesknet’s NEOのログイン画面

2要素認証 —  デスクネッツネオの認証画面

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/03/desknets-neo-proxy02.png

 

desknet’s NEOへログイン後の画面desknets-neo-proxy2

SSLクライアント認証後のサイボウズのログイン画面

2要素認証 —  サイボウズの認証画面

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/cybozu-proxy-11.png

 

サイボウズへログイン後の画面

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/cybozu-proxy-21.png

 

SSLクライアント認証 / NTTデータイントラマートへのログインhttps://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/intra-mart-login1.png

イントラマートへログイン後の画面intra-mart-login2

 

SSLクライアント認証 / X-pointのへのログインhttps://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/xpoint-login-1.png

X-pointのへのログイン後の画面xpoint-login-2

 

SSLクライアント認証 / Active Mail のへのログインhttps://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/06/activegate-1.png

Active Mailへログイン後の画面https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/06/activegate-2.png

 

SSLクライアント認証 / 楽々ワークフローII へのログインhttps://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/rakuraku-login-11.png

楽々ワークフローII へのログイン後の画面rakuraku-login-2

 

SSLクライアント認証 / eValue NSへのログインhttps://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/eValue-NS-login-1.png

eValue NS へのログイン後の画面https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/eValue-NS-login-2.png

 

SSLクライアント認証 / FileBlogへのログインhttps://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/fileblog-login-1.png

FileBlog へのログイン後の画面fileblog-login-2

 

SSLクライアント認証 / roundcubeのへのログインhttps://www.mubit.co.jp/plugin/roundcube/images/login.png

roundcube へのログイン後の画面

 

SSLクライアント認証 / ownCloudへのログインhttps://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/06/owncloud-ext-10-768x623.png

ownCloud へのログイン後の画面

 

SSLクライアント認証 /MosP人事管理へのログイン

MosP人事管理 へのログイン後の画面

SSLクライアント認証 /MosP給与計算へのログイン

MosP給与計算へのログイン後の画面

 

LB / ロードバランサ / SSLクライアント認証 / リバースプロキシ-連携

 

Private CAとSSL VPNでのSSLクライアント認証連携

SSL-VPNでSSLクライアント認証後に指定のサーバーへアクセス
 SSL VPNでのSSLクライアント認証例

SSLクライアント認証を行なった上で、RDPなどでのアクセスが出来ます

 

SSLクライアント認証時のアクセスコントロール

有効なSSLクライアント証明書を有している場合でも、Webサイト毎に各種のアクセスコントロールが設定出来ます
失効リスト(CRL)に関わらず、ただちにWebへのアクセス禁止を設定できます
SSLクライアント証明書を失効させることなく、Webへのアクセスを禁止できます

  • 利用するアプリでのアクセス制限
  • 組織や部門でのアクセス制限
  • 曜日や時間帯でのアクセス制限
  • 特定ユーザーでのアクセス制限
  • 端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

 

Powered BLUE Private CA へのフリープラグインなどのインストール

WordPressのインストール&セットアップ

Let’s Encryptのインストール&セットアップ

 Rouncubeのインストールセットアップ

ownCloudのインストール&セットアップ

php7 インストール&セットアップ

 

ワンタイムパスワード認証&SSLクライアント認証の併用

SSLクライアント認証とワンタイムパスワード認証の併用(多要素認証)及びリバースプロキシ機能までも1台のPowered BLUEサーバー上での運用も出来ます。 医療機関など、高度な安全性を求められる場面などに対応します 。

https://www.mubit.co.jp/sub/products/blue/img2/otp-21.png

Powered BLUE ワンタイムパスワード認証アプライアンス

■アクセス手順
1)ワンタイムパスワードの表示
2)Webサイトにアクセス ID/パスワード/ワンタイムパスワード入力
3)認証の成功後 Webサイトの表示

https://www.mubit.co.jp/sub/products/blue/img2/otp-login-1.png

 

デモサーバー

Powered BLUEの  デモサーバー

 

4OSS  GUIからの操作

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 超簡単 Fujitsu Cloud Service for OSS (4OSS)を初期設定する

4OSS  リモートコンソールの利用設定

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSS上のサーバーへパスワードログインをする

4OSS  Ansibleでの操作

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif Ansibleで4OSSのNetWork構築やサーバー設定を行なう

4OSS  メモリスワップの追加

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSSのLinuxサーバーにmemory swap を設定する

4OSS  Webサーバーを構築

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif Powered BLUE 870 の構築

4OSS  SSLクライアント認証Webを構築

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif Powered BLUE Private CA の構築

4OSS  ワンタイムパスワード認証Webを構築

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif Powered BLUE 870/OTPの構築

4OSS  Webをロードバランスする

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSSでWeb/https (443) をロードバランスする

4OSS  SSLクライアント認証&リバースプロキシ

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSSでクライアント認証後に既存Webへリバースプロキシ転送する

4OSS  ロードバランサ&SSLクライアント認証&リバースプロキシ

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSSでロードバランサー配下でクライアント認証後に既存Webへリバースプロキシ転送する

4OSS 多要素認証&リバースプロキシ対応のWebを構築

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 多要素認証&リバースプロキシ対応のWebサーバーを構築

 

富士通マーケットプレース

Fujitsu MetaArc Marketplace / Fujitsu Cloud Service for OSS (4OSS)

Fujitsu Cloud Service for OSSのマーケットプレイス