Fujitsu Cloud Service for OSS(4OSS)上にSSLクライアント認証やワンタイムパスワード認証とリバースプロキシ機能を持つWebサイトの構築と運用

富士通が運用するOpenStackのクラウド基盤 Fujitsu Cloud Service for OSS(4OSS) 上にWebアクセス時の多要素認証サーバーを構築します。

一般的なOpenStackでも、同様の構成でSSLクライアント認証&ワンタイムパスワード認証およびリバースプロキシ機能付きのWebサーバーの構築&運用が出来ます。

 

Webアクセス時の多要素認証

働き方改革によりテレワークやリモートワークで社内のWebサーバーにアクセスする際に、利用者が多要素認証やセキュリティを確保した上でブラウザから簡単にアクセスが出来るWeb サーバーです。

https://www.mubit.co.jp/sub/products/blue/img2/pc-mobile-web-1.png

ブラウザでのリモートアクセス

https://www.mubit.co.jp/sub/products/blue/img2/brauza-1.png

Webサイトへのアクセス時の認証としては、多要素認証(SSLクライアント認証やワンタイムパスワード認証 / Multi Factor Authentication )を併用出来ます。PCやスマフォ、モバイル端末とブラウザのみで利用が可能です。VPNや閉域網などは使用しません。

また既存のWebサイトへのアクセスについては、多要素認証後にリバースプロキシ機能により既存のWebサーバーへリダイレクトさせます。既存のWebサイト側は変更することなく多要素認証機能の導入が可能です。ID/パスワードとSSLクライアント認証もしくはワンタイムパスワード認証などの2要素認証での運用も出来ます。

 

パスワードの流出時も安心

いつも使っている使いまわしのパスワードが流出した場合でも安心です。ワンタイムパスワードは毎回異なる「使い捨てパスワード」で認証を行ないます。またSSLクライアント認証ではSSLクライアント証明書のないユーザーはアクセスが出来ません。いつも使っている「使いまわしのパスワード」と「ワンタイムパスワード認証」や「SSLクライアント認証」などにより、出先から安全にアクセスさせることが出来ます。

 

利用する機器

多要素認証(SSLクライアント認証やワンタイムパスワード認証)を持つWebサーバーを簡単に構築&運用が出来る機能とリバースプロキシ機能までを備えたオールインワンのWebアプライアンス  「Powered BLUE Web Station」 を利用します。

このアプライアンスサーバーは、自社独自の多要素認証機能付属のWebサーバーを簡単に構築&運用することが出来ます。

Webサイトに多要素認証を設定したり、特定のディレクトリ以下に多要素認証を設定するなどの多彩な形態で運用ができます。

またリバースプロキシ機能も有しており、既存のWebサイトへのアクセス連携にも対応しています。

Powered BLUE Web Station

 

Powered BLUE Web Stationの機能

機能 有無
Web サーバー機能
SSLクライアント認証
ワンタイムパスワード認証
リバースプロキシ
インターネットサーバー機能 / Mail / DNS / ftp
Let’s Encrypt & 自動更新
WordPress (CMS)
Roundcube (WebMail)
ownCloud (オンラインストレージ)
php 7.x 対応
サードパーティソフト 対応
CentOS / RedHat 7.x 対応

 

使用するもの

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/09/openstack-1.jpg

 

Powered BLUE Web Stationでの運用

ウェブステーション上に仮想Webサイトを1サイト作成して、サイト内に

●WordPress を設定 (Web)
●WebサイトにLet’s Encryptを設定 (SSLのサーバー証明書 / 自動更新対応)
●ownCloud を設定 (オンラインストレージ)
●Roundcube を設定(Web Mail)
●グループウエアを設定 ( サイボウズ / デスクネッツ)
●WebサイトにSSLクライアント認証を設定
●Webサイトにワンタイムパスワード(OTP)認証を設定
●WebサイトにSSLクライアント認証&ワンタイムパスワード認証を設定(多要素認証)
●リバースプロキシを設定
●DNSを設定
●メール送受信を設定

などを1台で運用することが出来ます。

 

Powered BLUEの構築&設定

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Fujitsu Cloud Service for OSS(4OSS)にCentOS/RedHat対応のPowered Blueをセットアップする

に沿って、「Powered BLUE 870」サーバーの設定します。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/09/k5-21.png

 

仮想サイトを作成

Webサイトを運用する仮想サイトを作成します

例 test-opt.mubit.com

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/otp-site-1-1-624x328.png

 

ワンタイムパスワードの認証設定

仮想サイトのWebへアクセス時にワンタイム・パスワード認証を設定する

  • 仮想サイト&ディレクトリを指定
  • 例 サイトのトップdir /  に 認証設定の場合
  • SSL接続強制の有無

などを指定します

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/otp-1-1-624x249.png

共有鍵の表示

  • ユーザーアカウントの作成
  • OTP認証設定を有効にします
  • ユーザ側のソフトウエアトークンを起動して、QRコードをスマフォで読み撮り共有鍵を登録します
  • QRコード読み撮りのカメラの無いPCなどへもコード表示で共有鍵の登録が出来ます(文字列表示)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/otp-5-3-2.png

 

ソフトウエア・トークン

ユーザー側で利用するワンタイムパスワードを生成するトークンは、無償のソフトウエアトークンなどが利用できます
●Google Authenticator
●WinAuth
●Authy
●IIJ SmartKey

 

利用端末の設定

ユーザーが利用する端末へのソフトウエアトークンのインストールは

を参照下さい

OTP認証機能

  • ワンタイムパスワード認証対応のWeb サイトを構築&運用
  • ワンタイムパスワード認証のユーザー管理機能

 

認証のステップ

1)ワンタイムパスワードを表示させる
2)アカウントやワンタイムパスワードを入力
3)認証後にWebが表示

 

プライベートCAの構築

プライベートCAを運用する仮想サイトを設定します。同一の仮想サイトに対して、SSLクライアント認証とワンタイムパスワード認証の併用(多要素認証)の設定での運用も出来ます。

ca-test3

CA証明書の作成

  • CA証明書の有効期限を設定
  • CAのパスワードを設定

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2017/05/ca-test2.png

以上でCAの構築は終了

 

SSLクライアント証明書の発行

プライベートCAでSSLクライアント証明書を発行。クライアント証明書は、会社や部門全体での一括発行や、1ユーザーごとの個別の発行が出来ます。

SSLクライアント証明書を個別発行の場合(1枚発行の場合)

例 suzuki@mubit.com ユーザーのクライアント証明書を作成

有効期限などを指定して発行します

有効期間やポリシーを設定して、「部門や全社員の一括発行」なども対応しています。

SSLクライアント証明書をダウンロードします

ユーザーが個別に、発行されたSSLクライアント証明書をURL通知でダウンロードさせることも出来ます。

SSLクライアント証明書のブラウザへのインストール(IEの場合)

ツール - インターネットオプション - コンテンツ - 証明書 を選択

https://www.mubit.co.jp/products/blue/imgs/image.jpg

個人のタグを選択

個人の証明書ストアへインポートします

 

 

 

 

 

 

 

 

SSLクライアント認証の設定

Private CAとWebサーバーを同一の仮想サイトで運用の場合

  • 例 ca-test.mubit.jp で運用の場合

SSLサーバー証明書の登録

  • Webサーバーを運用するサイトへSSLのサーバー証明書を登録します
  • 「自己署名デジタル証明書の作成」 または 「署名リクエストの作成」または https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Let’s Encrypt対応 で作成します。

自己署名デジタル証明書の作成の場合 (プライベートSSLサーバー証明書の場合)

  • 「自己署名デジタル証明書の作成」から必要事項を記入して、SSLを有効にします
  • 自己署名によるSSLのサーバー証明書が登録されます。

署名リクエスト / CSR で作成の場合 (パブリックSSLサーバー証明書の場合)

公的なSSLサーバー証明書を登録の場合には、ブラウザへの警告メッセージ

「このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません」

を抑制することが出来ます

SSLのサーバー証明書は

  •  ドメイン認証証明書(DV:Domain Validation)
  •  組織認証証明書(OV:Organization Validation)
  •  EV証明書(EV:Extended Validation)

が登録出来ます

  • 必要事項を記入して、 「署名リクエストの作成」 ボタンを押します

 

SSLサーバー証明書のインポート公的機関で発行された、サーバー証明書を 「インポート」 します

  • 中間証明書のインポートにも対応しています
  • https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Let’s Encrypt対応(Let’s EncryptのSSLサーバー証明書も組み 込めます
  • https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif  SNI対応 (IPアドレス1個で複数のWebサイトのSSL化)

 

SSLクライアント認証を有効

https://ca-test.mubit.jp へアクセス時のSSLサイトのクライアント認証を有効にしますca-test4

 

SSLクライアント認証の構成

  • SSLクライアント認証対応のWebサイトを構築&運用
  • SSLクライアント証明書の発行・失効やSSLクライアント認証の機能

 

SSLクライアント 認証例

Web Page  https://ca-test.mubit.jp へのアクセス

SSLクライアント認証が有効の場合 / Web ページへアクセスが出来ます

SSLクライアント証明書 〇 SSLクライアント証明書 ✕

 

SSLクライアント 認証&ワンタイムパスワード認証の併用

ワンタイムパスワードを表示させる

Web Page  https://test-otp.mubit.com へのアクセス

SSLクライアント認証が有効の場合 / ワンタイムパスワード認証 ページへアクセスが出来ます

ワンタイムパスワードの認証後にターゲットのWebページが表示されます

SSL VPN & SSLクライアント認証

SSL VPN機器と連携して、ブラウザからSSLクライアント認証を利用してセキュアにアクセスさせることが出来ます。

運用例

  • SSL-VPNへアクセス時のSSLクライアント端末認証
  • SSL-VPN経由で社内の RDP Sever へアクセス
  • SSL-VPN経由で社内の Web Server へアクセス
  • SSL-VPN経由で社内の File Server へアクセス

https://www.mubit.co.jp/sub/products/blue/img2/Sonic-SSL-VPN-3.png

 

 

多要素認証 & Reverse Proxy

1)多要素認証 (SSLクライアント認証やワンタイムパスワード認証 )
2)認証後にリバースプロキシでリダイレクト
3)ターゲットのWebが表示

https://www.mubit.co.jp/sub/products/blue/img2/web-station-rev-1.png

 

リバースプロキシの設定例

https://www.mubit.co.jp/sub/products/blue/img2/reverse-proxy-1.png

 

既存Webサイトの認証強化

Powered BLUE Web Stationは、仮想サイト上でのリバースプロキシの同時運用にも対応しており、認証後に既存で運用のWebサイトへリダイレクトさせることも出来ます。

多要素認証&リバースプロキシ連携 例

  • MosP勤怠管理 / MosP人事管理 / MosP給与計算
  • NTTデータ イントラマートワークフロー
  • エイトレッド X-point
  • NIコラボスマート
  • 楽々Workflow II
  • eValue NS
  • サイボウズ
  • デスクネッツ
  • Active! mail
  • Powere egg
  • RoundCube
  • Aipo
  • WaWaOffice
  • Seagull Office
  • OpenWebMail
  • Zabbix
  • Proself
  • FileBlog
  • 社内Web

 

MosP勤怠管理への認証例

 

サイボウへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/cybozu-proxy-11.png

 

デスクネッツへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/03/desknets-neo-proxy02.png

 

Active! Mailへの認証例

activegate-1

 

Roundcubeへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/06/roundcube-10-624x342.png

 

NTTデータイントラマートへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/intra-mart-login1.png

 

X-pointへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/xpoint-login-1.png

 

楽々ワークフローIIへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/rakuraku-login-11.png

 

eValue NSへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/eValue-NS-login-1.png

 

FileBlogへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/fileblog-login-1.png

 

Aipoへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/04/aipo-1.png

 

Power eggへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/06/powere-egg-1.png

 

デモサイト

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE 870 のデモサイト

 

Fujitsu Cloud Service for OSS (4OSS) の設定&構築

4OSS  GUIからの操作

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 超簡単 Fujitsu Cloud Service for OSS (4OSS)を初期設定する

4OSS  リモートコンソールの利用設定

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSS上のサーバーへパスワードログインをする

4OSS  Ansibleでの操作

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif Ansibleで4OSSのNetWork構築やサーバー設定を行なう

4OSS  メモリスワップの追加

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSSのLinuxサーバーにmemory swap を設定する

4OSS  Webサーバーを構築

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif Powered BLUE 870 の構築

4OSS  SSLクライアント認証Webを構築

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif Powered BLUE Private CA の構築

4OSS  ワンタイムパスワード認証Webを構築

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif Powered BLUE 870/OTPの構築

4OSS  Webをロードバランスする

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSSでWeb/https (443) をロードバランスする

4OSS  SSLクライアント認証&リバースプロキシ

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSSでクライアント認証後に既存Webへリバースプロキシ転送する

4OSS  ロードバランサ&SSLクライアント認証&リバースプロキシ

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSSでロードバランサー配下でクライアント認証後に既存Webへリバースプロキシ転送する

4OSS 多要素認証&リバースプロキシ対応のWebを構築

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 多要素認証&リバースプロキシ対応のWebサーバーを構築

 

富士通マーケットプレース

Fujitsu MetaArc Marketplace / Fujitsu Cloud Service for OSS (4OSS)

Fujitsu Cloud Service for OSSのマーケットプレイス