グループエア製品のサイボウズへPowered BLUE プライベートCAを利用してSSLクライアント認証を行った上で、アクセスする2要素認証で運用時の設定例です。(サイボウズとプライベートCAを同一のサーバーで運用の場合)
Powered BLUE プライベート CA を利用します
- インターネットサーバー機能
- プライベートCA機能
- SSLクライアント認証
- サイボウズoffice 10
などの機能をPowered BLUE Private CA 1台で運用する場合の構成例です。Powered BLUEのインターネットサーバー機能を利用してします。
オールインワン構成
Powered BLUEに仮想サイトを構築して
- インターネットサーバー機能
- プライベートCA機能
- SSLクライアント認証
- サイボウズoffice 10
を同一の仮想サイトでオールインワンの運用をします
サイボウズのインストール&設定
Powered BLUEへのサイボウズのインストールは、以下を参照のこと
サイボウズとプライベートCAを分離して運用
サイボウズとプライベートCAの運用サーバーを別けて2台で運用の場合には、以下を参照のこと
SSLのサーバー証明書の登録
- 「自己署名デジタル証明書の作成」 または 「署名リクエストの作成」 で作成します
パブリックSSLサーバー証明書の場合
公的なサーバー証明書を利用の場合には、ブラウザへの警告メッセージ
「このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません」
を抑制することが出来ます
- 必要事項を記入して、 CSR 作成の「署名リクエストの作成」 ボタンを押します
- 作成された 「署名リクエスト」 ファイルを保存
- この 「署名リクエスト」 ファイル signig-request.txt を、公的なSSLサーバー証明書の発行機関へ送付
- 公的機関で発行された、サーバー証明書を 「インポート」 します
- 中間証明書のインポートにも対応しています
プライベートCAの設定
サイボウズをインストールした仮想サイトで、Powered BLUEのプライベートCA機能を有効にして、この仮想サイトの「CA証明書の新規作成」をします。
SSLクライアント証明書発行
Powered BLUE プライベートCAで、この仮想サイトのSSLクライアント証明書を発行します
SSLクライアント証明書のダウンロード
SSLクライアント証明書は、利用するブラウザにインストールします
SSLクライアント認証の有効化
[クライアント認証を有効にする] ことで、このPowered BLUE の仮想サイトへは、有効なSSLクライアント証明書がインストールされた ブラウザのみ、SSLでサイボウズのサイトへアクセスが出来ます。
例 https://PrivateCA の仮想サイト/xx
SSLクライアント認証でCA&サイボウズへのアクセス - 承認された場合
有効なSSLクライアント証明書がインストールされたブラウザで、初回にアクセス時のブラウザでの表示例(Firefox)
https://192.168.10.67/cybozu/cbag/ag.cgi
または、dnsの設定がされていれば、サイト名でのアクセス
https://cybozu.mubit.com/cybozu/cbag/ag.cgi
SSLクライアント認証 - 承認されない場合
有効なSSLクライアント証明書が無いクライアントからのアクセスの場合 ( IPhone )
サイボウズオフィス10のログイン画面
2要素認証 — サイボウの認証画面
サイボウズへログイン後の画面
Powered BLUEの デモサーバー
AWS上で運用したい場合には
ワンタイムパスワード認証
Webのサイトへのアクセスに際して、OTP / ワンタイムパスワード対応のWebサイトの構築・運用例です。
多要素認証
ワンタイムパスワード認証&SSLクライアント認証の併用時のWebサイトの構築・運用例です。多要素認証でさらに高い安全性を確保したい場合に有効です
終わりに
ワンタイムパスワード認証やSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebサイトへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。