システム構築

構築事例:OpenXPKIを利用したプライベート認証局

Open Smart Design

クライアントのクラウドシステムを構築する業者(不特定多数)の自社ネットワークや端末からのログインの際にセキュアに保ちたいというご要望がありました。このご要望を踏まえプライベート認証局であるOpenXPKIを利用してシステムの構築を行いました。

お客様が悩まれていた課題
アクセス時のセキュリティが不安
プライベート証明書の発行、発行後の証明書の管理などを、コマンドラインで行っている
失効リストの配布ができていない
+導入企業プロフィール
導入企業業種

官公庁・自治体

ユーザー規模

利用OS

Red Hat Enterprise Linux 7.7

導入月

2019年12月

デージーネットが提案した「OpenXPKIを利用したプライベート認証局」

アイコン男性

解決ポイント

プライベート認証局のOpenXPKIを利用

お客様からの課題を踏まえ、プライベート認証局であるOpenXPKIを活用してシステムの構築を行いました。OpenXPKIは、SSL/TLSの管理を行う認証局(CA)を構築するためのソフトウェアです。OpenXPKIは、The Open XPKI Projectが開発・管理を行っており、オープンソースソフトウェアとして公開されています。このプロジェクトにはデージーネットも参加していて、日本語への翻訳も行っています。OpenXPKIを利用し認証局を構築することで、主に電子証明書・鍵の管理や認証局が発行した電子証明書の失効処理と証明書失効リスト(CRL)の公開、SCEP(Simple Certificate Enrollment Protocol)による、オンライン(WEB インターフェース)での電子証明書の登録・取得などができるようになります。また、他の機能としてWEBインターフェースから証明書の検索も可能です。

構築業者向け認証局サーバ_OpneXPKI

構築業者が認証局の管理者に申請することで、管理者がOpenXPKIに証明書の発行を依頼し、その証明書を業者に送付します。

電子証明書には、インターネット上で利用するパブリック証明書と、組織の内部だけで利用するプライベート証明書があります。しかしパブリック証明書は信頼できる公式な認証局が作成するため、有償かつ発行に時間がかかることがあります。そのため無償で利用できるプライベート証明書を発行するための認証局を構築できるオープンソースのOpenXPKIを採用しました。

Dockerコンテナの利用

OpenXPKIは、RHEL系のディストリビューションでは配布が行われておらず、Debian/Ubuntu系ディストリビューションのみの配布でした。Debianでの対応を想定していましたが、当時Debian8での配布のみの状況であり、Debian8のサポートは終了していました。そのため、RHEL7にDebian8をDockerでコンテナ化して準備し、その上にOpenXPKIを動作させました。すべてのパッケージをDebian8のコンテナ上に導入すると、個別のパッケージアップデートに影響が出る可能性が高いため、Debian8コンテナにインストールするものはOpenXPKIのみとしました。その他のパッケージはRHEL7システム側で稼働させるようにしました。

失効リスト配布サーバの設置

失効リストを配布するため、失効リスト用のサーバを別途設置し、証明書紛失などのインシデントに即時対応することが可能な状態を設計いたしました。

導入後の結果

アイコン女性

CLIでの証明書発行、管理といった煩雑かつオペレーションミスの発生しやすい状態から、複数のメンバーで管理が行える環境を提供することができました。クラウドシステムを構築する業者に対して、証明書発行リクエストにかかるスケジュールを短縮し、スムーズに運用することが可能になりました。

【Webセミナー】自社でOSSを採用しよう!今更聞けないOSSの基本セミナー

日程: 11月22日(金)Webセミナー「BigBlueButton」を使用します。
内容: OSSを導入したいけど、どこから手をつければいいかわからない方必見!
ご興味のあるかたはぜひご参加ください。

セミナー申込

OpenXPKIを利用したプライベート認証局の関連ページ

認証サーバ構築の事例一覧

デージーネットの構築サービスの流れ

デージーネットの構築サービス(Open Smart Design)では、OSSを安心して使っていただくために、独自の導入ステップを採用しています。詳しい情報は以下のリンクからご覧ください。


詳細情報ボタン

サービスの流れイメージ

様々な事例を集めたモデルプラン(費用例付き)をお送りしています。

代表的な事例を集めた「モデルプラン」をお送りしています。費用の例も記載しておりますので、価格感も知って頂ける資料となっております。
ご希望の方は、下記よりお申し込みください。


モデルプランをご希望の方

モデルプラン資料イメージ

各種費用についてのお問い合わせ

コンサルティング費用、設計費用、構築費用、運用費用、保守費用など、各種費用についてのお見積もりは以下のフォームよりお気軽にお問合せ下さい。


unboundやPowerDNSを使用したDNSサーバのモデルプランをご希望の方

全国対応イメージ

OpenXPKIを利用したプライベート認証局の先頭へ