BIG-IP APMでの電子証明書認証
Gléasで発行した電子証明書を使って、F5ネットワークス社のSSL-VPNアプライアンス BIG-IP APM(Access Policy Manager)での電子証明書認証の動作確認をおこないました。
設定手順PDF (3MB)

Gléasでサーバ証明書を発行し、BIG-IP APMに設定します。続いて、クライアント証明書の検証のため、BIG-IP APMにGléasのルート証明書と証明書の失効リストを設定します。
クライアント(Windows/iOS/Android)でGléasのユーザ用ウェブページにアクセスし、クライアント証明書をインポートします。iOSとAndroidでは、証明書と同時にBIG-IP APMへの接続設定(接続名、ホスト名)をインポートできます。
Gléasからクライアント証明書をインポートしたクライアントで、BIG-IP APMにアクセスすると、証明書を要求され、続いてActive DirectoryによるユーザID/パスワード認証が行われます。
このとき、ユーザIDはクライアント証明書のサブジェクトCNから抽出されるため、ユーザIDの詐称を防ぎます。
このソリューションにより、BIG-IP APMへのSSL-VPN接続に電子証明書とActive DirectoryのID/パスワードによる二要素認証が可能となります。また、iOSとAndroidへの証明書配布時にBIG-IP APMのVPN接続設定(接続名、ホスト名)を含めてインポートさせるため、各デバイスでの設定が不要となり、キッティング負担を軽減できます。