構築事例：FreeRADIUSとOpenXPKIで実現した電子証明書による認証システム

お客様は、政府の高いセキュリティポリシーへ対応するため、ネットワーク接続時の認証基盤の見直しを検討していました。クライアント証明書を利用する認証方式（802.1X/EAP-TLS）を視野に入れていましたが、証明書管理に関する知見が少なく、また製品の証明書管理基盤は費用が高いこともあり、OSSを使った認証基盤を構築できないかとご相談いただきました。

そこでデージーネットでは、EAP-TLS認証が可能なFreeRADIUSと、GUIで証明書管理ができるOpenXPKIを組み合わせた認証基盤をご提案しました。

FreeRADIUSは、RedHat Enterprise Linux、Debian、Ubuntuなど様々なLinuxディストリビューションに採用されているRADIUSサーバのOSSです。Wi-FiやVPN装置などの認証でよく使われています。またOpenXPKIは、組織内部だけで利用するプライベート証明書を発行する認証局（CA）を構築するためのOSSです。WebベースのGUIで証明書発行・失効・検索・CRL発行を行うことができるため、証明書管理の運用負荷を大幅に軽減することができます。なお今回は、MACアドレス認証も付随して実装し、EAP-TLSに対応できない機器も認証できるようにしました。

検証環境の構築と手順書の提供も実施

本番環境へ導入する前に、まず検証環境を構築し、EAP-TLS認証の動作を実際に確認するようにしました。また、OpenXPKIのGUI操作手順や設定追加手順をまとめたドキュメントも整備し、お客様が安心して本番環境を運用できる体制を支援しました。

導入にあたっての工夫

導入にあたって、以下を工夫しました。

運用フローに合わせた機能に絞り込み

OpenXPKIは、ユーザからの申請を受けて証明書を発行する、という利用手順を想定した機能がデフォルトで多数存在します。しかし、今回は管理者が証明書を発行する運用のため、必要のない機能が複数存在しました。そこで、運用の利便性を重視し、構成を必要な機能に絞り込みました。

OpenXPKIの日本語翻訳の不具合を修正

最新のOpenXPKIでは、画面の日本語翻訳が英語版と食い違うことが判明したため、導入前に日本語翻訳を行い、より使いやすい状態で提供しました。なお、今回修正した日本語翻訳ファイルはOpenXPKIの公式プロジェクトへも提供し、OSSコミュニティへの貢献にもつながりました。

証明書の失効処理を自動化して運用コストを削減

紛失・漏えいしたなどの理由で利用できない/利用してはいけない証明書が発生した場合、証明書の失効処理を実施します。この時、OpenXPKIで失効処理をした証明書のリストをRadiusサーバに読み込ませる必要がありますが、この運用を手作業で実施するのは負担がかかります。そこで、失効処理を自動化し、証明書管理の運用にかかる負担を削減するようにしました。

実際に使用するネットワーク機器を使った結合試験の実施

お客様が実運用で利用する機器を事前にお借りし、構築・試験の段階で、OpenXPKI、Radiusサーバ、ネットワーク機器、端末を全て接続した状態での結合試験を実施しました。細かい動作を事前に確認したことで、実際の環境での動作検証もスムーズに行うことができました。

認証サーバ構築の事例一覧

• OpenLDAPによるLDAPサーバのユーザ統合管理システム事例
• OpenLDAPによるLDAPサーバのマルチマスタ構成事例
• LDAPサーバ冗長化事例
• RADIUSサーバ事例
• CaptivePortalを利用したSNS認証事例
• Google AuthenticatorとFreeRADIUSを使ったOTP認証事例
• daloRADIUSを使用したRADIUSサーバ事例
• 389 Directory Serverを利用したLDAPサーバ事例
• OpenXPKIを利用したプライベート認証局事例
• Nginxを利用したクライアント認証サーバ導入事例
• FreeRADIUSを利用した認証サーバ事例
• Amazon Linux 2へ認証サーバOSの移行事例
• Keycloakを利用したシングルサインオン認証サーバの導入事例
• 管理の負担を軽減したKeycloakによるシングルサインオンサーバ構築事例
• 多要素認証にTOTPを利用したKeycloakサーバ導入事例
• Keycloakを利用したRoundcubeのSSO連携事例
• FreeRADIUSとOpenXPKIで実現した電子証明書による認証システム事例