TECHNICAL BRIEF FirePass における簡単 SSL-VPN

TECHNICAL BRIEF
FirePass における簡単 SSL-VPN
I.
はじめに
FirePass の 6.0 の新機能である「ネットワークアクセスのみのウェブトップ」の利用により、ネットワークア
クセスのみを必要とする環境ではより簡単な SSL-VPN 接続が可能です。この機能を使うと、FirePass にログ
インした直後、ネットワークアクセスの SSL-VPN トンネルが自動的に開始、トンネルが設立したらブラウザ
が自動的にシステムトレーへの最小化されます。そしてこの機能をクライアント証明書によるパスワード無し
でのログインと組合せば、ユーザのパソコンのお気に入りより One Click で SSL-VPN へ接続する簡単なアク
セスが実現できます。このドキュメントはクライアント証明書とネットワークアクセスのみのウェブトップの
設定及び利用について説明します。
II.
概要
通常の場合、FirePass をアクセスする際、ユーザ名とパスワードを入力した上でログインを行います。しかし、
クライアント証明書を利用する場合、パスワード無しでのログインが可能になります。その場合のアクセス手
順は下記の図1に表示されます。クライアントが証明書を FirePass へ送るため、その証明書を予めにクライ
アントのパソコンにインストールする必要があります。
図1:クライアント証明書によるログイン
F5 Networks Japan K.K.
1
May 17, 2005
TECHNICAL BRIEF
そしてネットワークアクセスも通常、ログイン後にユーザが明示的にリンクをクリックすることにより開始す
るものです。その場合、別のポップアップウィンドウにおいてネットワークアクセスの状態が表示されます。
しかし「ネットワークアクセスのみのウェブトップ」を設定しますと 1 つのブラウザウィンドウにネットワー
クアクセスが自動的に開始します。下記の図2で表示さています。
図 2:ネットワークアクセスのみのウェブトップによる SSL-VPN
III.
設定その1:ネットワークアクセスのみのウェブトップ
ネットワークアクセスのみのウェブトップを利用するには、まずネットワークアクセスを含むリソースグルー
プを作成する必要があります。次に実際のネットワークアクセスのリソースを設定します。最後に「ネットワ
ークアクセスのみのウェブトップ」の設定を、マスターグループにて設定します。設定のフローは下記の図3
に表示されています。
図3:ネットワークアクセスのみのウェブトップ設定のフロー
F5 Networks Japan K.K.
2
May 17, 2005
TECHNICAL BRIEF
設定の詳細手順
① 管理コンソールへアクセス。
② ユーザーのメニューを開き、グループをクリックし、その下に表示されるリソースグループの項目をクリ
ック。画面の右側にリソースグループの設定画面が表示されます。
③ 新しいグループを作成のボタンをクリック。新しいグループを作成という画面が表示されます。
図4:①~③の設定画面
④ グループ名を入力し、作成ボタンをクリック。リソースグループの画面に戻ります。そして新しいグルー
プがリストに追加されています。
⑤ 作成したグループのネットワークアクセスの列の下にある編集のリンクをクリック。ネットワークアクセ
スメニューのリソース項目の設定画面に切り替わります。
⑥ クライアントの設定などのタブにて、通常通りのネットワークアクセス設定を行います(本ドキュメント
に含めておりませんので、詳細は FirePass Admin Guide に参照してください。
)
図5:④~⑤の設定画面
F5 Networks Japan K.K.
3
May 17, 2005
TECHNICAL BRIEF
⑦ ネットワークアクセスのみのウェブトップ関連の設定を行います。
(ア) クライアントの設定のタブの下に、追加の設定にて「以下のエンドポイントプロテクションによる
自動起動」のチェックボックスをチェック
(イ) ドロップダウンリストより「全てのエンドポイント設定」を選択し、適用ボタンをクリック。
図6:⑦ (ア)~(イ)の設定画面
(ウ) カスタマイズタブの下に、カスタマイズの項目にて「ネットワークアクセスへの接続に成功すると、
Window を最小化する」及び「最小化されたとき、タスクバーのエントリの代わりに、トレイアイ
コンを使用」のチェックボックスをチェック。
図7:⑦(ウ)の設定画面
F5 Networks Japan K.K.
4
May 17, 2005
TECHNICAL BRIEF
⑧ ユーザーメニュに戻って、グループの下にあるマスターグループの項目をクリック。マスターグループの
設定画面が開きます。
⑨ 新しいマスターグループを作成のボタンをクリック。新しいグループを作成の画面が表示されます。
⑩ このグループは次の「設定その 2」で利用しますので、予めに認証方法をクライアント証明書に設定しま
す:グループ名を入力し、グループのユーザ及び認証方法のドロップダウンリストそれぞれにて、「ロー
カル」と「クライアント証明書(パスワード無し)」を選択。作成のボタンをクリック。マスターグルー
プの設定画面が表示されます。
図8:⑧~⑩の設定画面
⑪ ユーザー画面設定のタブの下に、ネットワークアクセスのみのウェブトップの項目にて、「ネットワーク
アクセスのみのウェブトップを使用」のチェックボックスをチェック。
図9:⑪の設定画面
F5 Networks Japan K.K.
5
May 17, 2005
TECHNICAL BRIEF
⑫ リソースグループのタブで④で作成したリソースグループマスターグループに追加します:
(ア) 使用可能のリストからリソースグループのグループ名を選択。
(イ) 追加ボタンをクリック。グループ名が選択済みのリストに追加されます。
(ウ) 更新ボタンをクリック。
図10:⑫の設定画面
上記の⑪のステップが終わったら、ネットワークアクセスのみのウェブトップの設定が完了となります。次に、
⑩のステップでクライアント証明書を利用するマスターグループを作成したため、そのマスターグループにロ
グインするためのユーザーを追加し、そしてそのユーザーのクライアント証明書を作成する必要があります。
IV.
V.
設定その2:クライアント証明書によるログインの設定
クライアント証明書によるログインを行うには、まずクライアント証明書を利用するマスターグループを設定
する必要があります。設定その1でそのマスターグループを作成しましたので、設定その2では次のステップ、
ユーザの追加及びクライアント証明書の発行、インストールについて説明します。フローは下記の図11に表
示されます。
図11:クライアント証明書による自動ログインの設定フロー
F5 Networks Japan K.K.
6
May 17, 2005
TECHNICAL BRIEF
設定の詳細手順
クライアントルート証明書の作成
① デバイス管理のメニューにて、セキュリティの下にある証明書の項目をクリック。証明書の設定画面が開
きます。
② クライアントルート証明書と CRL のインストールの下にある自己署名証明書をクリック。自己署名クラ
イアントルート証明書の作成画面が表示されます。(本ドキュメントは自己署名証明書の設定のみを説明
しますので、クライアントのルート証明書を既に持っていた場合、そのインストール方法は FirePass の
Admin Guide にご参照ください。
)
図12:①~②の設定画面
③ 全項目を入力した上で証明書の作成のボタンをクリック。自己署名クライアントルート証明書の確認画面
が表示されます。
④ 証明書保存ボタンをクリック。サービスの再起動が必要というメッセージが表示されます。
⑤ 再起動するには、ここをクリックしてくださいのリンクをクリック。再起動の確認画面が表示されます。
図13:③と⑤の設定画面
⑥ リスタートのボタンをクリック。リロードのインジケータ画面が表示され、リロードが完了したらサービ
ス再起動画面が表示されます。
F5 Networks Japan K.K.
7
May 17, 2005
TECHNICAL BRIEF
⑦ デバイス管理のメニューより、セキュリティの下にある証明書の項目をクリック。証明書の設定画面が表
示されます。
⑧ クライアントルート証明書と CRL のインストールの下にある「ログオン時、クライアント証明書を要求」
のチェックボックスをチェック。ドロップダウンリストが表示されます。
⑨ ドロップダウンリストより「ログオンユーザ名に証明書のコモンネーム(CN)を使用」を選択し、更新
のボタンをクリック。
図14:⑦~⑨の設定画面
⑩ ユーザーのメニューにて、グループ下のマスターグループ項目をクリック。マスターグループのリストが
表示されます。
⑪ 設定その1で作成したグループのグループ名をクリック。グループの詳細設定が表示されます。
⑫ 認証のタブにて、「クライアント証明書が提示されたとき、自動的にログイン」をチェックし、クライア
ント証明書発行者をドロップダウンリストから選択し、更新のボタンをクリック。
図15:⑩と⑫の設定画面
F5 Networks Japan K.K.
8
May 17, 2005
TECHNICAL BRIEF
ユーザの追加及びクライアント証明書の発行
① ユーザのメニューより、ユーザー管理の項目をクリック。ユーザー管理の設定画面が表示されます。
② ユーザーアカウントの作成より、個別入力を選択し Go のボタンをクリック。新しいユーザーの設定画面
が表示されます。
図16:①~②の設定画面
③ 右側のマスターグループにて、ドロップダウンリストより設定その1で作成したマスターグループを選択
し変更のボタンをクリック。
④ ログオン名を入力し、ユーザーを追加するボタンをクリック。ユーザー管理画面に戻ります。
⑤ ④で作成したユーザ名の行より、編集のボタンをクリック。ユーザーの詳細の画面が表示されます。
図17:④~⑤の設定画面
F5 Networks Japan K.K.
9
May 17, 2005
TECHNICAL BRIEF
⑥ クライアント証明書にて、有効期限やキーサイズを選択し、新しいクライアント証明書のボタンをクリッ
ク。ユーザーの詳細の画面が再び表示されますが、クライアント証明書の下に証明書の詳細情報が表示さ
れます。
⑦ クライアント証明書パッケージを E メールのボタン、或いはパスワードを入力した上で証明書パッケージ
のダウンロードのボタンをクリック。
⑧ ⑦で選んだ方法により証明書が発行されますので、その証明書をクライアントのパソコンに保存します。
図18:⑥~⑦の設定画面
クライアント証明書のインストール
① Windows の場合、ユーザパソコンに保存した証明書はダブルクリックによりインストール可能のファイ
ルフォーマットとなります。そのため、証明書のアイコンをダブルクリック。証明書のインストールウィ
ザードが表示されます。
図19:クライアント証明書のインストールパッケージファイル
② ウィザードの次へのボタンをクリックしながら、各インストール画面へ進みます。
③ パスワード入力画面にて上記の⑦で設定したパスワードを入力。
④ 証明書ストアの画面にて、自動的にストアを選択するオプションをクリック。
図20:③~④のインストール中画面
F5 Networks Japan K.K.
10
May 17, 2005
TECHNICAL BRIEF
⑤ 最後の画面にて完了ボタンをクリック。インストールの確認画面が表示されます。
⑥ はいのボタンをクリック。正しくインポートされましたというメッセージが表示されます。これで証明書
のインストールが終了となります。
図21:⑥のインストール中の画面
上記の手順が終わったら、全ての準備が完了となります。次に実際にアクセスを行い、動作を確認します。
VI.
クライアント証明書によるログイン
設定が完了してから、クライアントパソコンから FirePass への次にアクセスした際、FirePass よりクライア
ント証明書が要求されます。上記で作成、インストールした証明書を利用することによりパスワード無しのロ
グインが行われ、そしてログインした際にネットワークアクセスが自動的に起動します。
利用の詳細手順
① ブラウザが既に開いていた場合、一旦終了します。
② 再度ブラウザを起動。
③ FirePass の URL をアクセス。接続した際、デジタル証明書の選択というボックスが表示されます。リス
トの中に上記で作成した証明書が表示されます。
④ 名前を選択し、OK ボタンをクリック。ログイン画面がスキップされ、自動ログインが行われます。ログ
イン後に同ブラウザウィンドウにネットワークアクセスが自動的に開始します。また、接続が確立したと
ころで、設定その1で行った設定によりブラウザが自動的にシステムトレーに最小化されます。
図22:④のクライアント証明書の選択画面
F5 Networks Japan K.K.
11
May 17, 2005
TECHNICAL BRIEF
⑤ 任意に FirePass への URL をお気に入りへの追加や、ショートカットの作成により、SSL-VPN への簡単
アクセスが実現できます。
⑥ ログイン後、設定その1の設定によりネットワークアクセスが自動的に起動し、SSL-VPN への接続が正
常に確立したらブラウザーウィンドウが自動的にシステムトレーへ最小化します。
図23:⑥のログイン後の画面
VII.
まとめ
クライアント証明書とネットワークアクセスのみのウェブトップでは、SSL-VPN への簡単なアクセスが実現
できます。パスワードもログイン後のユーザ操作も不要のため、単純に SSL-VPN しか利用しない環境では有
効の使い方となります。
F5 Networks Japan K.K.
12
May 17, 2005