SSL-VPN接続を利用した仮想サーバOSへの接続(東日本リージョン3/西日本リージョン3)

SSL-VPN接続機能を使用して、仮想サーバへログインするためのネットワーク環境を構築する手順を説明します。

始める前に

SSL-VPN接続環境を作成するため、サーバ用・クライアント用に以下を準備します。ファイル名は作成したもので読み替えてください。

  • サーバ用

    • 認証局証明書 ca.crt
    • サーバ証明書 server.crt
    • サーバ秘密鍵 server.key
    • DH秘密鍵 dh2048.pem
  • クライアント用

    • 認証局証明書 ca.crt (上記サーバ用のca.crtと共通)
    • クライアント証明書 client_001.crt
    • クライアント秘密鍵 client_001.key
注:
  • サーバ秘密鍵は暗号化されていないものを準備してください。
  • クライアント証明書の取得方法は「FJCSポータルユーザーズガイド」の「認証用の証明書を発行する」を参照してください。

このタスクについて

以下の手順に従って、仮想サーバ上のOSへログインするためのSSL-VPN接続環境を構築します。各リソースに設定する値は、ご利用のシステムに合わせて適宜修正してください。

図: 構築するSSL-VPN環境



ヒント: 図中のリソースを、以下の手順に従って作成します。

手順

  1. SSL-VPN用仮想ネットワークの作成
    表 1. 設定例
    設定項目 設定値
    仮想ネットワーク名 SSL-VPN_Network
  2. SSL-VPN用サブネットの作成

    作成したSSL-VPN用仮想ネットワーク内に、サブネットを作成します。

    表 2. 設定例
    設定項目 設定値
    サブネット名 SSL-VPN_Subnet
    仮想ネットワークID 「SSL-VPN_Network」のID
    IPバージョン IPv4
    ネットワークアドレス範囲 172.18.1.0/24
    ゲートウェイアドレス 172.18.1.1
    DHCP true
    DNSサーバ DNSサーバのIPアドレス
  3. SSL-VPN用仮想ルータの作成
    表 3. 設定例
    設定項目 設定値
    仮想ルータ名 SSL-VPN_Router
  4. SSL-VPN用仮想ルータのゲートウェイ設定

    作成したSSL-VPN用仮想ルータに対し、以下の情報変更を行ないます。

    表 4. 設定例
    設定項目 設定値
    外部ネットワークID 「fip-net」のID
  5. SSL-VPN用仮想ルータをサブネットに接続

    SSL-VPN用仮想ルータの設定情報を更新して、SSL-VPN用サブネットに接続します。詳細は「APIユーザーズガイド」の「仮想ルータの情報変更(サブネットにアタッチ)」を参照してください。

    表 5. 設定例
    設定項目 設定値
    仮想ルータID 「SSL-VPN_Router」のID
    サブネットID 「SSL-VPN_Subnet」のID
  6. SSL-VPN用ファイアーウォールルールの作成

    OSへの接続に使う通信条件をもとに、通信許可ルールとそれ以外の通信を禁止するルールを作成します。

    表 6. 許可ルールの設定例
    設定項目 設定値
    ファイアーウォールルール名 SSL-VPN_FW_rule_ssl_allow
    プロトコル tcp
    送信元IPアドレス 0.0.0.0/0
    送信元ポート番号 1:65535
    宛先IPアドレス 192.168.90.5/32
    宛先ポート番号 443
    アクション allow
    表 7. 禁止ルールの設定例
    設定項目 設定値
    ファイアーウォールルール名 SSL-VPN_FW_rule_all_deny
    アクション deny
  7. SSL-VPN用ファイアーウォールポリシーの作成

    作成したファイアーウォールルールをまとめて、ファイアーウォールポリシーを作成します。

    表 8. 設定例
    設定項目 設定値
    ファイアーウォールポリシー名 SSL-VPN_Firewall_Policy
    ファイアーウォールルールリスト

    以下の作成済みファイアーウォールルールのリストを指定

    • 「SSL-VPN_FW_rule_ssl_allow」のID
    • 「SSL-VPN_FW_rule_all_deny」のID
  8. SSL-VPN用ファイアーウォールの作成

    作成したファイアーウォールポリシーをSSL-VPN用仮想ルータに紐付けて、ファイアーウォールを作成します。

    表 9. 設定例
    設定項目 設定値
    ファイアーウォール名 SSL-VPN_Firewall
    ファイアーウォールポリシーID 「SSL-VPN_Firewall_Policy」のID
    仮想ルータID 「SSL-VPN_Router」のID
  9. SSL-VPN用認証局証明書の登録

    鍵管理サービスを使用して、認証局証明書を登録します。

    表 10. 設定例
    設定項目 設定値
    鍵情報名 ca
    秘密情報(payload) -----BEGIN CERTIFICATE-----\n (ca.crtのペイロードの改行コードを「\n」に置換した文字列) \n-----END CERTIFICATE-----
    秘密情報のコンテンツタイプ text/plain
    保持期限 2025-12-31T23:59:59
  10. SSL-VPN用サーバ証明書の登録

    鍵管理サービスを使用して、サーバ証明書を登録します。

    表 11. 設定例
    設定項目 設定値
    鍵情報名 server_certificate
    秘密情報(payload) -----BEGIN CERTIFICATE-----\n (server.crtのペイロードの改行コードを「\n」に置換した文字列) \n-----END CERTIFICATE-----
    秘密情報のコンテンツタイプ text/plain
    保持期限 2025-12-31T23:59:59
  11. SSL-VPN用サーバ秘密鍵の登録

    鍵管理サービスを使用して、サーバ秘密鍵を登録します。

    表 12. 設定例
    設定項目 設定値
    鍵情報名 server_key
    秘密情報(payload) -----BEGIN PRIVATE KEY-----\n (server.keyのペイロードの改行コードを「\n」に置換した文字列) \n-----END PRIVATE KEY-----
    秘密情報のコンテンツタイプ text/plain
    保持期限 2025-12-31T23:59:59
  12. SSL-VPN用DH秘密鍵の登録

    鍵管理サービスを使用して、DH秘密鍵を登録します。

    表 13. 設定例
    設定項目 設定値
    鍵情報名 dh
    秘密情報(payload) -----BEGIN DH PARAMETERS-----\n (dh2048.pemのペイロードの改行コードを「\n」に置換した文字列) \n-----END DH PARAMETERS-----
    秘密情報のコンテンツタイプ text/plain
    保持期限 2025-12-31T23:59:59
  13. SSL-VPN用鍵情報コンテナの作成

    上記で作成した4つの証明書・秘密鍵をまとめて、鍵情報コンテナを作成します。

    表 14. 設定例
    設定項目 設定値
    鍵情報コンテナ名 SSL-VPN_VPNCredential
    鍵情報タイプ generic
    鍵情報リスト

    以下の要素をもつオブジェクトのリストとして指定

    • "name":以下のすべてを鍵情報の名前として指定

      • 認証局証明書の場合: ca
      • サーバ証明書の場合: server_certificate
      • サーバ秘密鍵の場合: server_key
      • DH秘密鍵の場合: dh
    • "secret_ref":各鍵情報を作成した際に生成された、"secret_ref"の値を指定

    鍵情報リストの設定例)

    {
      "name": "SSL-VPN_VPNCredential",
      "type": "generic",
      "secret_refs": [
        {
          "name": "ca",
          "secret_ref": "https://keymanagement.jp-west-2.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{認証局証明書鍵情報のID}"
        },
        {
          "name": "server_certificate",
          "secret_ref": "https://keymanagement.jp-west-2.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{サーバ証明書鍵情報のID}"
        },
        {
          "name": "server_key",
          "secret_ref": "https://keymanagement.jp-west-2.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{サーバ秘密鍵鍵情報のID}"
        },
        {
          "name": "dh",
          "secret_ref": "https://keymanagement.jp-west-2.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{DH秘密鍵鍵情報のID}"
        }
      ]
    }
  14. SSL-VPN用VPNサービスの作成

    SSL-VPN用仮想ルータを経由して、SSL-VPN用サブネットに接続するVPNサービスを作成します。

    表 15. 設定例
    設定項目 設定値
    VPNサービス名 SSL-VPN_Service
    サブネットID 「SSL-VPN_Subnet」のID
    仮想ルータID 「SSL-VPN_Router」のID
    admin_state_up true
  15. SSL-VPN接続の作成

    作成したSSL-VPN用VPNサービスに、SSL-VPN用鍵情報コンテナを紐付けてSSL-VPN接続を作成します。

    表 16. 設定例
    設定項目 設定値
    SSL-VPN接続名 SSL-VPN_Connection
    クライアントアドレスプール 192.168.1.0/24
    鍵情報コンテナID 「SSL-VPN_VPNCredential」のID
    VPNサービスID 「SSL-VPN_Service」のID
    プロトコル tcp
  16. SSL-VPN接続用クライアント環境のセットアップ

    付録の記事を参照して、SSL-VPN接続用クライアントをセットアップします。

    クライアント環境のセットアップが完了したら、正常にSSL-VPN接続できるかどうか確認します。

  17. SSL-VPN用仮想ネットワークへ仮想サーバ接続

    SSL-VPN接続が可能となる環境が構築できたら、「SSL-VPN用仮想ネットワーク」に仮想サーバを作成または接続します。

    注: すでに作成済みの仮想サーバを「SSL-VPN用仮想ネットワーク」へ新たに接続する場合、ポートを追加して接続します。この場合、既存のネットワークから仮想サーバへログインし、追加ポートのIPアドレスに合わせて、OSのネットワークアダプタの設定変更が必要です。
  18. OSへのログイン

    SSL-VPN接続を経由し、SSHまたはリモートデスクトップを使用して、仮想サーバのOSへログインします。

    ヒント: 接続できない場合は、「SSL-VPN用ファイアーウォールルール」の設定内容を取得し、OSログイン用の通信が正しく許可されているかを確認します。