Azure P2S VPNの証明書認証に関する仕組みと運用について書いてみようと思います。
本記事も以前の記事の派生になります。
派生元の記事はこちらです。
最初の記事AWS Client VPNとAzure P2S 機能比較 01~AWS Client VPN構築編01~
2番目の記事AWS Client VPNとAzure P2S 機能比較 02~AWS Client VPN クライアントPC設定編~
3番目の記事AWS Client VPNとAzure P2S 機能比較 03~Azure P2S構築編~
4番目の記事AWS Client VPNとAzure P2S 機能比較 04~Azure P2S クライアントPC設定編~
Azure P2S VPNで使われる自己署名証明書について
こちらの記事で記載しているPowerShellで作成される証明書は自己署名証明書です。
証明書って?
通常インターネット上で利用される証明書はエンタープライズ証明書と呼ばれるもので、第三者証明機関が証明書に記載されているドメインの正式な所有者の存在を様々な方法で認証する仕組みです。
様々な方法とは具体的に3つあり、ドメイン認証、企業存在認証、EV認証、の3つです。
| 認証レベル | 認証項目 | 発行速度 | 価格 |
|---|---|---|---|
| ドメイン認証 | ドメイン名の利用権 | 早い | 低価格 |
| 企業存在認証 | ドメイン名の利用権、組織の法的実在性 | 中くらい | 中価格 |
| EV認証 | ドメイン名の利用権、組織の法的実在性、組織の運営、承認者・署名者の確認 | 遅い | 高価格 |
これはエンタープライズ証明書なので今回は無関係ですが、今回調べてみてEV認証を初めて知りましたので記載しておきます。
それで自己署名証明書って?
エンタープライズ証明書ではなく、第三者認証されない証明書です。
PowerShellで作成されるのはこの自己署名証明書です。
自己署名証明書って安全なの?
何をもって安全とするか、ですが、当然エンタープライズ証明書の方が安全ですが、P2S VPN接続に於いて行われている認証という点だけでいえば自己署名証明書でも安全です。
ここで結局何をもって安全とするかという話になるのですが、ここで運用の観点が入ってきます。
実際にどういう点で運用が関連するの?
ユーザがクライアント証明書を盗まれた、クライアント証明書をインストールされたパソコンを紛失した、といった、クライアント証明書が外部に流失したという場合を考えると非常にわかりやすいです。
クライアント証明書が紛失したらどうなるの?対処としてどういう運用が正しいの?
クライアント証明書を紛失した=社外の人が社内にアクセスできるようになる
非常にまずい状況ですね。
ですので、この紛失したクライアント証明書に対応するルート証明書を失効させます。
実際のパラメータでいうと下図の赤枠ですね。
これでどういうことが起きるかというと、この失効したルート証明書に対応するクライアント証明書はP2S VPN接続時に行われる証明書認証時に失効済み証明書として扱われ、認証に失敗してVPN接続が確立しません。
じゃあどういう設計、運用が正しいの?
クライアント証明書、ルート証明書を1セット作って、全P2S VPN利用ユーザでこのクライアント証明書を使いまわす、という設計、運用も可能ですが、上述のクライアント証明書の紛失を考慮すると1ユーザずつクライアント証明書、ルート証明書を作成して、どのユーザがどのルート証明書(に対応するクライアント証明書)を利用しているか管理し、ユーザの退職やクライアント証明書の社外流失が判明した時点で失効させる運用が正しいと言えます。
本日はここまで。