VPNクライアントとの接続設定(V2サービス/クライアント証明書利用)

VPNクライアントとの接続設定(V2サービス)を行う手順を解説します。

注:

本手順ではSSL-VPNクライアントPC環境として、以下の環境を使用して確認しています。

  • OS : Windows 7 Professional 64bit 日本語版
  • VPN クライアント : OpenVPN 2.3.12
注: 本手順ではOpenSSL1.1.0を使用して証明書の形式変換を実施しています。
  1. CA証明書を作成するための中間証明書とroot証明書をダウンロードします。

    http://rms-digicert.ne.jp/howto/basis/digicert-root-certificates.html から、中間証明書とroot証明書をダウンロードします。

     中間証明書:[DigiCert Global G2 TLS RSA SHA256 2020 CA1]

     root証明書:[DigiCert Global Root G2]

  2. 次のコマンドを実行し、ダウンロードした証明書の形式を変換します。 
    openssl x509 -in <中間証明書名> -inform DER -out <中間証明書名(任意)>
openssl x509 -in <root証明書名> -inform DER -out <root証明書名(任意)>
  3. 変換したことを確認するため、以下のコマンドを実行します。 
    # ls -l

    以下のように、証明書が表示されることを確認します。

    <中間証明書名>
<root証明書名>
  4. 中間証明書とroot証明書を結合します。

    証明書をテキストエディタに貼り付けます。

    注:

    • 作成した2つのPEM形式の証明書のファイルをテキストエディタで開きます。

    • 表示した情報の「-----BEGIN CERTIFICATE-----」から「-----END CERTIFICATE-----」までをコピーし、新規テキストファイルに貼り付けます。

    • 作成されたテキストファイルが以下のような内容になっていることを確認します。 

    -----BEGIN CERTIFICATE-----
中間証明書ファイル(PEM形式)の記述内容
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
root証明書ファイル(PEM形式)の記述内容
-----END CERTIFICATE-----

    テキストファイルを任意の名前で保存します。ファイルの拡張子は.crtとしてください。

  5. クライアント証明書を発行します。

    クライアント証明書の発行については「ポータルユーザーズガイド」の「3.3.5.1 認証用の証明書の発行」を参照してください。

    警告:

    SSL-VPN接続で使用するクライアント証明書は必ずユーザー毎に一意の証明書を作成してください。

    複数のユーザーが1つの証明書を利用して同時にSSL-VPN接続を行うことはできません。

    複数ユーザーで利用する場合、ポータルからユーザー数分証明書を取得してください。

  6. クライアント証明書の形式変換

    クライアント証明書の形式変換については証明書の形式変換を参照してください。

    本章で説明しているSSL-VPNクライアント(OpenVPN)で使用する秘密鍵は証明書の形式変換に記載の「暗号化されている秘密鍵」と「暗号化されていない秘密鍵」に対応しています。

  7. OpenVPNのインストールを行います。

    https://www.openvpn.jp/download/ から、インストーラをダウンロードして、インストールを実行します。

    詳細なインストール方法については「機能説明書」の付録「SSL-VPNクライアントのセットアップ(Windows編)」を参照してください。

  8. OpenVPNクライアント設定ファイルの編集を行います。

    インストール先のsample-configフォルダにあるclient.ovpnをconfigフォルダにコピーします。

    本手順で作成したCA証明書とクライアント証明書/秘密鍵をconfig フォルダに保存しておく必要があります。

    configフォルダのclient.ovpnをテキストエディタで開き、以下の通り編集します。

    • protoで始まる行

      proto tcp

    • remoteで始まる行

      remote [接続先サーバアドレス(SSL-VPN ConnectionリソースのグローバルIPアドレス)] [接続先ポート( 443 )]

    • caで始まる行

      ca <CA証明書名>

    • certで始まる行

      cert <クライアント証明書名>

    • keyで始まる行

      key <クライアント秘密鍵名>

    • comp-lzoで始まる行

      #comp-lzo

    • cipherで始まる行

      cipher AES-128-CBC

    • http-proxyで始まる行(HTTPプロキシサーバ経由で接続する場合に指定します)

      http-proxy <HTTPプロキシサーバアドレス> <HTTPプロキシのポート番号> stdin basic

      stdin: HTTPプロキシサーバ接続時に、ユーザー名とパスワードの入力を要求されます。

      basic: 認証方式は基本認証となります。

    注:

    例:

    proto tcp
remote xxx.xxx.xxx.xxx 443
ca ca.crt
cert client.crt
key client.key
#comp-lzo
cipher AES-128-CBC
http-proxy xxx.xxx.xxx.xxx 8080 stdin basic
  9. OpenVPNクライアントを起動します。

    OpenVPNクライアントを右クリックし、[管理者として実行]を選択し、管理者権限で起動します。

  10. SSL-VPN接続を行います。
    注:

    SSL-VPN接続実施後に仮想サーバに接続するには、以下にVPNトンネルのネットワークアドレスから接続する仮想サーバへのアクセス許可の設定を実施している必要があります。

    • SSL-VPN機能を設定した仮想ルータのファイアーウォール
    • 仮想サーバに割り当てられたセキュリティグループ

    PC端末の起動タスクトレイ上のOpenVPNアイコンを右クリックし、 [接続]メニューをクリックします。

    タスクトレイ上のOpenVPNアイコンがグリーンに切り替わることが確認できたら、SSL-VPNの接続は完了です。

    SSL-VPNクライアントPCから仮想サーバのプライベートIPアドレスを指定することで接続が可能となります。

    ※SSL-VPN接続を切断したい場合

    切断するときはタスクトレイ上のOpenVPNアイコンを右クリックし、[切断]をクリックします。

    タスクトレイ上のOpenVPNアイコンがグレーに切り替わることを確認できたら、切断完了です。