富士通の運用する OpenStack ベースの Fujitsu Cloud Service for OSS(4OSS) 上にプライベートCAを構築して、Webページへのアクセス時にSSLクライアント認証をします。また既存のWebサービスへの認証には、リバースプロキシ/Reverse Proxy 経由で認証&リダイレクトでの運用を行ないます。一般的なOpenStackで同様の構成でのPrivate CAの運用も可能です。
例 Web / WordPress / ownCloud / Roundcube / などのWebページへのSSLアクセス認証
Private CA 機能の他に、SSLクライアント認証やリバースプロキシ-機能を持つPowered BLUE Private CA を利用します。サーバーの設定は全てGUIからの操作に対応しており、証明書の発行、失効なども簡単に自社管理での運用が出来ます。Let’s Encryptにも対応しており、WebサイトのSSLサーバー証明書の自動更新での運用も可能です。
- プライベート CA (プライベート認証局)
- SSLクライアント認証
- Mail / Web / DNS サーバー
- Webサイト
- WordPress
- ownCloud / オンラインストレージ ( バックアップ機能付き )
- Roundcube / Webmail
- Let’s Encrypt 対応
- リバースプロキシー
などを1台のPowered BLUE Private CAで同時に運用出来ます。
運用例
仮想サイト A.co.jp で以下のWeb サービスを同時に運用。既存環境にも簡単に導入が出来るため、働き方改革によるリモートワークやテレワークの実現をサポート。
- Let’s Encrypt でサイトのSSLサーバー証明書を利用
- WordPressで一般向けWebを運用 (SSLクライアント認証なし)
- WordPressで社員用Webを複数運用 (SSLクライアント認証)
- ownCloud を運用 (SSLクライアント認証)
- Roundcube を運用 (SSLクライアント認証)
- リバースプロキシを運用 (SSLクライアント認証)
など
CA/リバースプロキシを分離での運用にも対応
別サーバーで運用のCAとの連携も出来ます
「Fujitsu Cloud Service for OSS (4OSS)」の特徴は
- OpenStack準拠
- Ansible/Horizonからコントロール可能
- 単一ゾーンでのSLA 99.99%
- アンチ・アフィニティをサポート
- オブジェクトストレージからのダウンロードにも費用がかからない
- 回線費用は無償(ベストエフォート)
などです。
Fujitsu Cloud Service for OSS (4OSS)上へのPowered BLUEのセットアップは以下も参照のこと
「Fujitsu Cloud Service for OSS(4OSS)」上にCentOS 7のインスタンス構築設定
「Fujitsu Cloud Service for OSS(4OSS)」上へのPowered BLUEのセットアップ
Powered BLUE Private CAの設定
サーバー起動後に、GUIでウイザードを実行します。GUIへのアクセスポートは http 81 / 444 番です firewallには TCP 81/444番 を通過させる設定が必要です
サーバーへのアクセス 例 http://54.65.17.7:444
管理サーバー名などを入力します
DNS などはEnterprise Cloudのデフォルトで設定されたものでも構いません。自社で独自に構築するのであれば、適宜指定します。
サーバーのIP/Gatewayなどは、変更せずにこのまま利用します。
adminのパスワードを入力します。
Languageに日本語を選択すると、GUIの表示は日本語となります。
Time-Zoneなどを適宜選択します。
ウイザードの終了後に、サーバーへ再ログインします。
管理サイト サーバー名等を設定します。
NTPサーバーを指定します
プライベートCAの構築
プライベートCAを運用する仮想サイトを設定します
CA証明書の作成
- CA証明書の有効期限を設定
- CAのパスワードを設定
以上でCAの構築は終了
SSLクライアント証明書の発行
プライベートCAでSSLクライアント証明書を発行。クライアント証明書は、会社や部門全体での一括発行や、1ユーザーごとの個別の発行が出来ます。
SSLクライアント証明書を個別発行の場合(1枚発行の場合)
例 suzuki@mubit.com ユーザーのクライアント証明書を作成
有効期限などを指定して発行します
有効期間やポリシーを設定して、「部門や全社員の一括発行」なども対応しています。
SSLクライアント証明書をダウンロードします
ユーザーが個別に、発行されたSSLクライアント証明書をURL通知でダウンロードさせることも出来ます。
SSLクライアント証明書のブラウザへのインストール(IEの場合)
ツール - インターネットオプション - コンテンツ - 証明書 を選択
個人のタグを選択
個人の証明書ストアへインポートします
SSLクライアント認証の設定
Private CAとWebサーバーを同一の仮想サイトで運用の場合
- 例 ca-test.mubit.jp で運用の場合
SSLサーバー証明書の登録
- Webサーバーを運用するサイトへSSLのサーバー証明書を登録します
- 「自己署名デジタル証明書の作成」 または 「署名リクエストの作成」または Let’s Encrypt対応 で作成します。
自己署名デジタル証明書の作成の場合 (プライベートSSLサーバー証明書の場合)
- 「自己署名デジタル証明書の作成」から必要事項を記入して、SSLを有効にします
- 自己署名によるSSLのサーバー証明書が登録されます。
署名リクエスト / CSR で作成の場合 (パブリックSSLサーバー証明書の場合)
公的なSSLサーバー証明書を登録の場合には、ブラウザへの警告メッセージ
「このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません」
を抑制することが出来ます
SSLのサーバー証明書は
- ドメイン認証証明書(DV:Domain Validation)
- 組織認証証明書(OV:Organization Validation)
- EV証明書(EV:Extended Validation)
が登録出来ます
- 必要事項を記入して、 「署名リクエストの作成」 ボタンを押します
SSLサーバー証明書のインポート公的機関で発行された、サーバー証明書を 「インポート」 します
- 中間証明書のインポートにも対応しています
- Let’s Encrypt対応(Let’s EncryptのSSLサーバー証明書も組み 込めます
- SNI対応 (IPアドレス1個で複数のWebサイトのSSL化)
SSLクライアント認証を有効
https://ca-test.mubit.jp へアクセス時のSSLサイトのクライアント認証を有効にします
Web Page https://ca-test.mubit.jp へのアクセス
SSLクライアント認証が有効の場合 / Web ページへアクセスが出来ます
グループウエアへのアクセス例
SSLクライアント証明書が有効の場合
SSLクライアント認証が無効の場合
Private CAとWebサーバーを異なるサイトで運用の場合
Webサービス用の仮想サイトを構築します
例 test-web.mubit.jp
test-web.mubi.jp サイトからPrivate-CA の運用サイト http://ca-test.mubit,.jp とのcrl (失効リスト)の同期設定を行ないます
Webサーバーを運用するサイトには、SSLのサーバー証明書をインストールします
リバースプロキシ連携の場合
別サーバーで運用中のWebサーバーへのアクセス時にSSLクライアント認証
desknets / サイボウズ へのリバースプロキシの設定例
既存で運用中のWebサーバー(デスクネッツ/ サイボウズ)側の変更は不要です
既存のWebサービスとの連携
リバースプロキシによるSSLクライアント認証と既存のWebサービスとの連携の例 /多要素認証
- MosP勤怠管理/MosP人事管理/MosP給与計算
- NTTデータ イントラマートワークフロー
- エイトレッド X-point
- NIコラボスマート
- 楽々Workflow II
- eValue NS
- サイボウズ
- デスクネッツ
- Active! mail
- Powere egg
- RoundCube
- Aipo
- WaWaOffice
- Seagull Office
- OpenWebMail
- Zabbix
- Proself
- FileBlog
リバースプロキシ設定&有効化
Private-CA を運用のサイトでリバースプロキシも運用します
プライベート認証局のこの仮想サイトにアクセスしたクライアントを、SSLクライアント認証後にリバースプロキシで指定したサーバーへリダイレクトさせます。
例 https://PrivateCAのサイト/demo/ -> http://www.zyx.co.jp/demo/
SSLクライアント認証でCA&デスクネッツへのアクセス - 承認された場合
有効なSSLクライアント証明書がインストールされたブラウザで、初回にアクセス時のブラウザでの表示例 (Firefox)
https://ca-test.mubit.jp/dneo/dneo.cgi
SSLクライアント認証後のMosP勤怠管理のログイン画面
MosPへログイン後の画面
SSLクライアント認証後のdesknet’s NEOのログイン画面
2要素認証 — デスクネッツネオの認証画面
desknet’s NEOへログイン後の画面
SSLクライアント認証後のサイボウズのログイン画面
2要素認証 — サイボウズの認証画面
サイボウズへログイン後の画面
SSLクライアント認証 / NTTデータイントラマートへのログイン
イントラマートへログイン後の画面
SSLクライアント認証 / X-pointのへのログイン
X-pointのへのログイン後の画面
SSLクライアント認証 / Active Mail のへのログイン
Active Mailへログイン後の画面
SSLクライアント認証 / 楽々ワークフローII へのログイン
楽々ワークフローII へのログイン後の画面
SSLクライアント認証 / eValue NSへのログイン
eValue NS へのログイン後の画面
SSLクライアント認証 / FileBlogへのログイン
FileBlog へのログイン後の画面
SSLクライアント認証 / roundcubeのへのログイン
roundcube へのログイン後の画面
SSLクライアント認証 / ownCloudへのログイン
ownCloud へのログイン後の画面
SSLクライアント認証 /MosP人事管理へのログイン
MosP人事管理 へのログイン後の画面
SSLクライアント認証 /MosP給与計算へのログイン
MosP給与計算へのログイン後の画面
LB / ロードバランサ / SSLクライアント認証 / リバースプロキシ-連携
Private CAとSSL VPNでのSSLクライアント認証連携
SSL-VPNでSSLクライアント認証後に指定のサーバーへアクセス
SSL VPNでのSSLクライアント認証例
SSLクライアント認証を行なった上で、RDPなどでのアクセスが出来ます
SSLクライアント認証時のアクセスコントロール
有効なSSLクライアント証明書を有している場合でも、Webサイト毎に各種のアクセスコントロールが設定出来ます
失効リスト(CRL)に関わらず、ただちにWebへのアクセス禁止を設定できます
SSLクライアント証明書を失効させることなく、Webへのアクセスを禁止できます
- 利用するアプリでのアクセス制限
- 組織や部門でのアクセス制限
- 曜日や時間帯でのアクセス制限
- 特定ユーザーでのアクセス制限
- 端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止
Powered BLUE Private CA へのフリープラグインなどのインストール
ワンタイムパスワード認証&SSLクライアント認証の併用
SSLクライアント認証とワンタイムパスワード認証の併用(多要素認証)及びリバースプロキシ機能までも1台のPowered BLUEサーバー上での運用も出来ます。 医療機関など、高度な安全性を求められる場面などに対応します 。
Powered BLUE ワンタイムパスワード認証アプライアンス
■アクセス手順
1)ワンタイムパスワードの表示
2)Webサイトにアクセス ID/パスワード/ワンタイムパスワード入力
3)認証の成功後 Webサイトの表示
デモサーバー
Powered BLUEの デモサーバー
4OSS GUIからの操作
超簡単 Fujitsu Cloud Service for OSS (4OSS)を初期設定する
4OSS リモートコンソールの利用設定
4OSS Ansibleでの操作
Ansibleで4OSSのNetWork構築やサーバー設定を行なう
4OSS メモリスワップの追加
4OSSのLinuxサーバーにmemory swap を設定する
4OSS Webサーバーを構築
4OSS SSLクライアント認証Webを構築
4OSS ワンタイムパスワード認証Webを構築
4OSS Webをロードバランスする
4OSSでWeb/https (443) をロードバランスする
4OSS SSLクライアント認証&リバースプロキシ
4OSSでクライアント認証後に既存Webへリバースプロキシ転送する
4OSS ロードバランサ&SSLクライアント認証&リバースプロキシ
4OSSでロードバランサー配下でクライアント認証後に既存Webへリバースプロキシ転送する
4OSS 多要素認証&リバースプロキシ対応のWebを構築
富士通マーケットプレース
Fujitsu MetaArc Marketplace / Fujitsu Cloud Service for OSS (4OSS)
Fujitsu Cloud Service for OSSのマーケットプレイス