ニフクラ ブログ

ニフクラやクラウドの技術について、エンジニアが語るブログです。

プライベートCAを1clickで作成出来るツール genca を公開しました!(リモートアクセスVPNゲートウェイ活用TIPS)

こんにちは!富士通クラウドテクノロジーズの蓮沼です。
本日(2019年4月10日)、クライアント環境から「ニフクラ」にVPN接続できる新機能リモートアクセスVPNゲートウェイがリリースされました。
この機能をより簡単に利用するためのツール、gencaを公開したのでご紹介します。

github.com

リモートアクセスVPNゲートウェイとは

リモートアクセスVPNゲートウェイは、ニフクラのお客様専有のプライベートLANに対して、WindowsやMac , Linuxなどのクライアント端末からSSL-VPNによってセキュアに接続出来るサービスです。

お客様オフィス環境からの通信はSSLで暗号化を行い、L3 VPNとしてニフクラのプライベートLAN上に接続されているサーバーへアクセスが可能となります。

リモートアクセスVPNゲートウェイを安全に使うには

リモートアクセスVPNゲートウェイはユーザー認証と、クライアント証明書認証を組み合わせた2つの認証方式をサポートしています。

  • ユーザー認証
  • ユーザー認証 + クライアント証明書認証

接続元IPアドレスなどファイアウォールを使ったアクセス制限は設定出来ません。これはオフィスネットワーク、外出先など様々な環境から接続する事を想定し、クライアント証明書認証を利用した方がセキュリティを担保しつつ、利便性をバランスよく保つ事が出来るからです。 リモートアクセスVPNゲートウェイを利用する場合には、クライアント証明書認証の設定を推奨します。

クライアント証明書認証とは

クライアント証明書認証は特定のユーザーを電子署名し、信頼出来るユーザーとして認証を行う仕組みです。
これはPKI(公開鍵暗号基盤)を利用したもので、お客様毎にプライベート認証局(CA、Certification Authority) を構築する必要があります。

しかしプライベートCAの構築、クライアント証明書の発行などはコマンドをいくつか叩く必要があります。

クラウドユーザーガイド(リモートアクセスVPNゲートウェイ:OpenSSLコマンドを使ったプライベートCA作成手順) | ニフクラ

この手間を解決するために作成したのが、今回紹介する genca です!

gencaは1 clickでCA証明書、クライアント証明書を自動的に生成する事が出来るツールです。golangで書かれたツールのため、様々なOS上で実行出来るツールになっています!
※本ツール自体はニフクラのサポート対象外となります。検証時などにご利用下さい。

gencaの使い方

  1. ツールのダウンロード 以下のgithubで公開しているreleaseページより、ご利用環境のOSにあったバイナリをダウンロードします。 github.com 例えばご利用OS環境がWindows 10 64bitの場合、 genca_windows_amd64.exe をダウンロードします。

  2. ツールの実行 ツールをダブルクリックすると、自動的にCA証明書、クライアント証明書(PKCS #12形式)が作成されます。

  3. ニフクラ コントロールパネルにCA証明書のアップロード 作成したCA証明書をコントロールパネルのCA証明書にアップロードします。

  4. リモートアクセスVPNゲートウェイの作成 アップロード完了後、リモートアクセスVPNゲートウェイの作成を行い、CA証明書に先ほどアップロードした証明書を指定します。

  5. クライアント端末へのインポート 接続を行う端末に、クライアント証明書(PKCS #12形式)をインポートします。

以上でクライアント証明書認証を利用したセットアップが完了しました。
クライアント証明書をインポートしている端末のみ、リモートアクセスVPNゲートウェイへアクセス、利用可能になります。

まとめ

今回リモートアクセスVPNゲートウェイの簡単なサービス紹介と、クライアント証明書認証を簡単に設定出来るツール genca をご紹介しました。
ぜひこれらのツールをご活用頂き、リモートアクセスVPNゲートウェイを安心してご利用頂ければ幸いです!