Webアクセス時のID/パスワードのみでアクセスする際のなりすましを防ぐため、cloudnでWebアクセス時のSSLクライアント認証の出来るサーバーを構築&運用する方法を解説します。
Powered BLUE プライベートCA には
- SSLクライアント証明書の発行・管理・失効
- SSLクライアント認証
- リバースプロキシ
などに加えて、インターネットサーバー機能
- Mail/DNS/ftp/syslog
- Web サーバー
- Web アプリ サイボウズ / デスクネッツ /
- Web Mail (roundcube) / オンラインストレージ ( ownCloud )
を1台の仮想アプライアンスで運用出来る機能を備えています。今回はこのサーバーを使用してSSLクライアント認証(2段階認証)を構築&運用します。
必要なものは
- Powered BLUE プライベートCA (CA&インターネットサーバーを運用)
です。
cloudn への仮想アプライアンス Powered BLUE のインポート方法は、下記をご参照ください
cloudn上のPowered BLUE を起動します
プライベートCA
Powered BLUEでは、複数の仮想サイトを構築出来ます。プライベートCAを設定する仮想サイトを構築して、そのサイトのSSL&プライベートCA機能を有効にします
プライベートCAでSSLクライアント証明書を発行。クライアント証明書は、会社や部門全体での一括発行や、1ユーザーごとの個別の発行が出来ます
SSLクライアント証明書を個別発行の場合(1枚発行の場合)
例 suzuki@mubit.com ユーザーのクライアント証明書を作成
有効期限などを指定して発行します
SSLクライアント証明書をダウンロードします
SSLクライアント証明書のブラウザへのインストール(Firefoxの場合)
「証明書を表示」をクリック
「あなたの証明書」のインポートをクリック
SSLクライアント証明のパスワード入れてインストールします
正常にインポート時の表示
証明書マネージャーにインストールしたクライアント証明書が表示されます
SSLクライアント認証例
Webへアクセス
- https://xxx.yyy.zzz.uuu/
OKボタンを押すと、SSLクライアント認証後にWebのアクセス画面が表示されます.有効なSSLクライアント証明書の無い場合には、この時点でアクセスが拒否されます
この後に、仮想サイトのWebページやWebソフト の画面が表示されます。
例 ownCloudを運用の場合
仮想サイトでは
一般的なWeb ソフト
- Web ページ
- サイボウズ
- デスクネッツ
- wordpress
- Web Mail ( roundcube )
- オンラインストレージ ( ownCloud )
- zabbix
なども仮想サイト上に構築出来ます。これらのWebアプリケーションへのSSLクライアント認証を1台(同一)の仮想サーバー上で運用することが出来ます。またリバースプロキシ機能により、SSLクライアント認証後の既存Webアプリケーションへのリダイレクトでの運用にも対応しています。
アクセス認証
ファイルやディレクトリ単位での詳細なSSLクライアント認証の設定できます。設定方法は、以下をご参照ください
デモサーバー
Powered BLUEの デモサーバー
基本操作 / リバースプロキシ / SSLクライアント認証 などのデモが出来ます
ワンタイムパスワード認証
Webのサイトへのアクセスに際して、OTP / ワンタイムパスワード対応のWebサイトの構築・運用例です。
多要素認証
ワンタイムパスワード認証&SSLクライアント認証の併用時のWebサイトの構築・運用例です。多要素認証でさらに高い安全性を確保したい場合に有効です
終わりに
ワンタイムパスワード認証やSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebサイトへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。