近年、リモートワークの普及に伴い、セキュアなネットワーク接続の重要性が高まっています。Microsoft Azureの仮想ネットワークゲートウェイを用いたPoint to Site (P2S) VPNは、遠隔地から安全に企業のネットワークリソースにアクセスするための解決策として注目されています。本記事では、Azureの仮想ネットワークゲートウェイでクライアント証明書がサポートされていることから、Azure VPNを利用した際のクライアント証明書認証の設定手順とその検証結果について詳細に記載します。これにより、Azureを使用している企業がリモートアクセスのセキュリティを強化するための参考情報を提供します。

事前準備

事前準備として、Azure仮想インスタンス1つ、そのインスタンスが接続する仮想ネットワークを作成し、そこに仮想ネットワークゲートウェイ(VPN GW)を構築します。

今回は、以下のような構成で試します。

azure-vpn01.png

仮想ネットワークゲートウェイは以下のように作成しました。

azure-vpn02.png

続いて、[ポイント対サイトの構成]を設定していきます。

azure-vpn03.png

クライアント証明書認証に関するポイントは以下のとおりです。

  • 認証の種類は、「Azure証明書」を選択
  • ルート証明書の箇所には、ルート証明書と中間CA証明書を設定

テスト用CAについてはこちらからダウンロードが可能です。

ダウンロードしたファイルをテキストエディタで開き、最初の行と最後の行("-----BEGIN CERTIFICATE-----"と"-----END CERTIFICATE-----")を除いたものが対象データになります。

azure-vpn04.png

設定が終わったら、保存してVPNクライアントをダウンロードし、クライアントにインストールします。

※テスト用CAや専用プライベートCAで証明書を発行した場合は、ルートCAを自身の証明書ストア(信頼されたルート証明機関)に追加する必要があります。

VPN接続

事前準備を済ませたらVPN接続を試みてみます。

azure-vpn05.png
azure-vpn06.png
azure-vpn07.png

接続に成功し、仮想マシンへの疎通も確認できています。

azure-vpn08.png

Azure Portalの「ポイント対サイト セッション」でVPN接続ユーザを確認できます。

azure-vpn09.png

証明書を失効したい場合は、Azure Portalで失効する証明書の拇印を入力します。

CAが提供する失効情報(CRL・OCSP)は使われません。

azure-vpn10.png

拇印は証明書データから取得することができます。Windowsでみるとスペースで区切られますが、Azure Portalに入力する際にはスペースは省きます。

azure-vpn11.png

その証明書を持つクライアントからの接続は拒否されます。

azure-vpn12.png                                                                                                                                                                                                                                  

証明書がない場合は以下のエラーになります(クライアント証明書を発行したルートCAの証明書が信頼されていない場合も同じエラーになります)

azure-vpn13.png

まとめ

この記事では、Azure VPNを使用したクライアント証明書認証の設定方法とその検証結果について詳しく説明しました。証明書に基づく認証は、セキュリティを大幅に強化することができるため、リモートアクセス環境を安全に保つ上で非常に有効です。

ただし、今回のAzure VPNの設定では発行CAのチェーン確認のみとなっているので、この場合は弊社の専用プライベートCAサービスを使うほうが現実的かもしれません。弊社の専用プライベートCAサービスに興味がございましたら、詳細情報や導入の相談について、いつでも弊社の営業窓口までお問い合わせください。

トピック関連記事

#

2015年06月25日

パスワードに依存すべきでない3つの理由

#

2021年04月06日

不正アクセス事例から学ぶ、VPN接続のセキュリティ強化

#

2017年01月16日

対応は必須、未導入でも安心できないBYOD対応とは

この記事を書きました

グローバルサインブログ編集部

グローバルサインカレッジ編集部
所属:GMOグローバルサイン マーケティング部
当サイトの運営・管理を担当。