クライアント証明書の認証を中間層にオフロードする。 - .NET 開発基盤部会 Wiki

[ トップ ] [ 編集 | 凍結 | 差分 | バックアップ | 添付 | リロード ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

最新の50件

2020-01-18

2020-01-15

2020-01-14

2020-01-11

2020-01-10

2020-01-07

API Gateway

2020-01-04

2019-12-28

SC：法制度 - 内部統制に関する法制度

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
- 要件
- 既知の情報
詳細
- ProxyServlet
- HAProxy

概要 †

要件 †

Linux環境でクライアント証明書を認証（アプリではサボりたい）。

既知の情報 †

以下は、クライアント証明書を使用したプログラムのテスト動画

Demo: MultiPurposeAuthSite? & Financial-grade API part 2 (confidential client) of Open棟梁 - YouTube?
https://www.youtube.com/watch?v=m9BGlJwOdOM

この構築は、IIS Expressで行った。

これによりクライアントから送信される
クライアント証明書は、以下のプログラムで取得可能。
- https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Controllers/OAuth2EndpointController.cs#L109

これをApacheや、他のWebサーバでやればイイだけ。

詳細 †

この処理を、中間層にオフロードしたい場合、

ProxyServlet? †

...調べると以下のようなものがある模様。

ProxyServlet?でリバースプロキシを作った話 - Qiita
https://qiita.com/shinevillage/items/5b10ae6517628a41c574
- https://github.com/mitre/HTTP-Proxy-Servlet

これを使用して、

X.509をX-ARR-ClientCert?、X-Client-Certヘッダから、
読んで、任意のHTTPヘッダを追加して、代理リクエストすればイイ。

...しかし、色々調べて、具体的な実装方法が不明。

HAProxy †

そこで他にも調べてみたが、

HAProxyというプロダクトにビンゴの当該機能が存在するっぽい。

ドキュメント †

（Authentication Developer Guide 7.5.0 ）

7. クライアント証明書認証
https://nec-baas.github.io/baas-manual/latest/developer/ja/auth/clientcert/index.html

7.1. 概要
https://nec-baas.github.io/baas-manual/latest/developer/ja/auth/clientcert/intro.html

7.3. リバースプロキシで認証する場合の設定
https://nec-baas.github.io/baas-manual/latest/developer/ja/auth/clientcert/haproxy.html
- 本章では HAProxy によるクライアント証明書
  認証を行う場合の設定手順を説明します。
- HAProxyからBaaSサーバへのリクエスト抜粋
```
X-SSL-Client-CertAuth-Validated: 1
X-SSL: 1
X-SSL-USED: 1
...
X-SSL-Client-DN: /C=JP/ST=Kanagawa/L=Kawasaki/O=...
X-SSL-Client-CN: client001
X-SSL-Client-UID: 00000001
```

7.6. HAProxyで認証する場合の設定例
https://nec-baas.github.io/baas-manual/latest/developer/ja/auth/clientcert/configurations.html

自己署名証明書対策 †

なお、自己署名証明書の問題対策は以下に書かれている。

openssl - Haproxy ssl configuration - install root and intermediate certificate - Stack Overflow
https://stackoverflow.com/questions/15048346/haproxy-ssl-configuration-install-root-and-intermediate-certificate
- https://serversforhackers.com/c/using-ssl-certificates-with-haproxy
  ...大きなPEMにまとめるとか、少々、乱暴な設定方法らしい。

バックエンドに転送するHTTPヘッダ †

余談、

SiteMinder?もバックエンドに認証結果情報をHTTPヘッダで転送していたと思うので、
調べてみたが、オレオレ・ヘッダなので、適当なヘッダに書き換えれば良さそう。

製品によって使用されるデフォルトの HTTP ヘッダ
CA Single Sign-On - 12.7 - Japanese - Japan - CA Technologies ドキュメント
https://docops.ca.com/ca-single-sign-on/12-7/jp/http-403316211.html
- SM_AUTHDIRNAME
- SM_AUTHDIRSERVER
- SM_AUTHDIRNAMESPACE
- SM_AUTHDIROID

なので、HAProxy のX-SSL-Client-**でもOK。

Last-modified: 2019-05-16 (木) 20:25:25 (247d)