メールマガジン

  1. サーバ構築のデージーネットTOP
  2. メールマガジン
  3. デージーネットマガジン10月号
  4. FreeRADIUS + OpenXPKIによる認証基盤システム構築事例

FreeRADIUS + OpenXPKIによる認証基盤システム構築事例

ソリューション開発部 上野 貴博

今回は、通信機器メーカーのお客様向けに、FreeRADIUSとOpenXPKIを用いた認証基盤の検証環境を構築した事例です。お客様はこれまで、ネットワーク接続時の認証にクライアント証明書を使う方式(IEEE 802.1X/EAP-TLS)を検討されていましたが、証明書管理の知見が乏しく、自社開発に不安がありました。また、製品の証明書管理基盤は高額で予算超過をするため導入が難しく、OSSを検討されていましたが、OSSに関しても自社運用に不安があったため、デージーネットからはFreeRADIUS + OpenXPKIを利用した認証基盤システムの構築をご提案しました。

お客様が悩まれていた課題

お客様には以下の課題がありました。

  • 高いセキュリティポリシーを実現するため、ネットワーク接続時の認証を必須とされていた
  • クライアント証明書を用いたIEEE 802.1X/EAP-TLS認証を検討していたが、証明書管理の知見が乏しく、自社開発に不安があった
  • 市販の証明書管理基盤は高額で予算超過となるため導入が難しく、OSSについても自社での運用に不安があった

デージーネットからの提案

デージーネットからは以下の2つを提案しました。

FreeRADIUS+OpenXPKIによる認証基盤の構築

ネットワーク認証には、EAP-TLS認証に対応したFreeRADIUSを採用し、証明書の発行・失効・検索・CRL発行をGUIから行えるOpenXPKIを組み合わせることで、運用のしやすさとお客様の求めるセキュリティ水準を満たす認証基盤をご提案しました。また、EAP-TLSに対応できない機器についてはMACアドレス認証を併用し、すべての端末が認証基盤のもとで利用できるようにしました。

検証環境の構築と手順書の提供

本番導入前に検証環境を構築し、EAP-TLS認証・MAC認証の両方が想定通り動作するかを確認しました。さらに、GUI操作や設定変更手順を詳細にまとめたドキュメントを作成し、お客様が安心して自社で運用できる体制を整えました。

導入時の工夫

導入にあたって以下を工夫しました。

運用に合わせたOpenXPKIのワークフロー設計

OpenXPKIは、デフォルトではユーザ申請型の証明書発行フローが用意されていますが、今回は管理者が発行する運用に合わせてより便利に利用できるよう、不要な機能を削除し、必要な機能に絞り込んで運用しやすいワークフローに再構成しました。

日本語翻訳を整備し操作性を向上

最新のOpenXPKIでは日本語の翻訳が英語版とずれていることが発覚したため、導入前に日本語翻訳の不備を修正し、より使いやすい状態での提供を行いました。

また日本語翻訳ファイルについては、OpenXPKIの公式プロジェクトへも連絡しており、OSSコミュニティへの貢献も行うことができました。

OpenXPKIからRadiusサーバへの証明書の失効情報の提供を自動化して運用コストを削減

証明書での認証を管理する上で、紛失・漏洩等の理由で利用できない・利用してはいけない証明書が発生します。また証明書の失効処理が実施されることで、OpenXPKIで失効処理をした証明書のリストをRadiusサーバに読み込ませる必要がありますが、この運用を手作業で実施すると負荷が高いため、自動化を行って運用負荷を削減し、運用コストとヒューマンエラーを削減しました。

実機を用いた結合試験によりリスクを低減

お客様から実環境で利用するネットワーク機器をお借りし、構築・試験の段階から本番に近い環境で結合試験を実施しました。事前に細かい動作を確認したことで、現場導入時の設定ミスやトラブルを事前に回避しました。

導入後の結果

導入後は、クライアント証明書によるEAP-TLS認証とMAC認証が検証環境で想定通り動作することを確認し、全国拠点でセキュリティポリシーに準拠したネットワーク認証を導入できる見通しが立ちました。

また、証明書の発行や失効といった運用作業はGUIから直感的に行えるようになり、担当者の負担が大幅に軽減されました。さらに、失効情報も自動でRADIUSサーバへ反映されるため、セキュリティリスクを最小限に抑えつつ迅速な対応が可能になっています。十分な動作確認を事前に行ったことで導入時のトラブルもなく、今後の拠点追加や機器増設にも柔軟に対応できる、拡張性の高い認証基盤の構築を実現することができました。

関連ページ

構築事例:FreeRADIUSとOpenXPKIで実現した電子証明書による認証システム

構築事例(OpenXPKI)

FreeRADIUSとOpenXPKIを組み合わせた認証基盤システムを構築した事例についての記事です。高いセキュリティ要件に対応しつつ、複雑な証明書管理に伴う運用の負担を軽減した認証システムを実現しました。

デージーネットからのお知らせ

複雑なログイン管理からの脱却!Keycloakで実現する安全・快適なSSO環境徹底解説セミナーを開催します。

企業のIT化が推進される中、多くの従業員が複数のアプリケーションやクラウドサービスを活用しています。今回は、複数ある社内システムのログインを一元化(SSO)できるソフトウェア「Keycloak」を紹介します。

  • 日程:2025年10月22日(水)
  • 時間:15:00〜16:00

詳細↓↓
https://www.designet.co.jp/seminar/seminar.php?seminar_id=113

OSSのRoundcubeで実現できる!セキュアなWebメール運用・構築セミナーを開催します。

Webメールとは、Webブラウザ上でメールチェックやメール送受信ができるシステムです。今回は、OSSのRoundcubeやプラグイン、弊社で提供している商用サポートについて紹介します。

  • 日程:2025年11月11日(火)
  • 時間:15:00〜16:00

詳細↓↓
https://www.designet.co.jp/seminar/seminar.php?seminar_id=114

東京営業所が移転しました。

https://www.designet.co.jp/info/?id=847

オープンソースの統合ログ管理ツールであるGraylog6.3の日本語マニュアルを公開しました。

https://www.designet.co.jp/ossinfo/graylog/manual6.3/

無料資料ダウンロードに【Traefik Proxy調査報告書】を掲載しました。

Traefik Proxyとは、コンテナなどのクラウド環境との親和性を重視して作られたリバースプロキシ/ロードバランサです。本書は、Traefik Proxyについて調査した内容をまとめたものです。

https://www.designet.co.jp/download/#claster

メールサーバの安全性を無料でチェックできるサイトを公開しています。

メールセキュリティへの関心が高まる中、メールセキュリティのチェック項目を整理して、誰でも簡単にチェックできるツールはありませんでした。本サイトでは、メールアドレスを入力するだけで、メールサーバのセキュリティを無料でチェックできます。

メールサーバセキュリティ診断MSchecker外部サイトへ

前へ(今月の気になるオープンソース情報)

デージーネットマガジン2025年10月号記事一覧

FreeRADIUS + OpenXPKIによる認証基盤システム構築事例の先頭へ