SSTPの最近のブログ記事

最近プログラミングの方にやる気が出たので、そっちのせいで、少し時間が空いてしまいました。だらだら書いているのも面倒なので、今回でけりを付けます。

前回
SSTPの証明書にOpenSSLを使う (2) 証明書の発行/CA証明書の自動展開

前回までがOpenSSLの使用においての変更点で、今回以降は、以前紹介した方法と同じです。資料の提示と、ポイントだけを書いておきます。

前回
SSTPの証明書にOpenSSLを使う (1) ルートCAの作成

ルートCA証明書を作成したので、それを使ってサーバ証明書を作成したいと思います。前回の流れの 3. に相当します。2.の方は、後回しした方が良いような気がするので、流れが変わりますが、そのようにします。

以前に、Windows Server 2008でVPNを構築する記事を書きました。SSTPと呼ばれる方式で通信するのですが、SSLを使用しているため証明書が必要でした。その証明書の発行に、ActiveDirectory 証明書サービスを利用しました。この方法では、不要なIISもインストールしなければならなく、余計なサービスが動作してしまいます(Enterprise以上ならIISは不要で可能)。今回は別の方法で、証明書さえ発行できればいいので、LinuxとOpenSSLで作ったCAを使用して、証明書を発行してみることにします。結果から言うと、こっちの方が簡単でした。

手順は以下の通り。環境は、CentOS 5.4 x86_64・OpenSSL 0.9.8・Windows Server 2008です。

1. OpenSSLでルートCAを作成する。
2. ADのグループポリシーにルートCAの証明書を追加する。
3. 作成したルートCAで、リクエストを作成し、署名する。
4. Windows Server 2008の証明書ストアに展開する。
5. SSTPを構築する。

では、順を追って説明します。今回は、1.を説明します。ちなみに、OpenSSLでCA作成なので、Apache SSL・FTPSの証明書用にも利用できます。

いろいろと忙しく、前回からだいぶ時間が空いてしまいました。
今回でラストです。クライアント側の設定をします。

今回は、前回までの話と違い、複雑な作業はありません。
接続の設定をするだけで、 VPN(SSTP) クライアントとして動作するようになります。

前回は、証明書の発行をしました。今回は、証明書を正しい位置に展開し、その後SSTP サーバを立ち上げます。

VPN(SSTP)の導入について、今回で第4回目です。

前回の記事に続いて説明します。

今回は、証明書の発行です。

SSTPで一番難しい場所です。これさえ乗り越えれば、あとは簡単です。発行に失敗したりすると、接続できなくなります。

ちなみに私は、ここで間違えてしまい、3日間考えていました。今日の記事が遅れたのも、そのせいです。

前回の続きで、Active Directoryを導入します。SSTPと少し外れるので、あまり詳しく書きません。手順だけにします。

Active Directory ドメイン サービスを導入します。

前回の続きで、今回は準備とします。

まず、必要な物をリストアップします。

• Windows Server 2008の動作するサーバマシン
• SSTP対応のクライアントパソコン(現在Windows Vista SP1以降のみ対応)
• ブロードバンド常時接続環境(上り速度が速い光ファイバー接続を推奨)
• ドメイン名(ダイナミックDNSのサブドメインでも可)

これくらいでしょうかね？　これらは、すべて必須です。1つでもなければ、SSTPを使ったVPNを構築することができません。

また、Windows Server 2008には以下の物をセットアップする必要があります。

• Active Directory ドメインサービス
• Active Directory 証明書サービス
• Internet Information Service (IIS)
• ルーティングとリモートアクセス

詳細は、次回説明しまが、これらを設定する必要があると言うことを覚えておいてください。ある程度知っている方なら、ここでドメインネットワークを作らないといけないと言うことに気がつきます。なくてもできるんでしょうが、元々自宅にドメインを使用しているので、こちらを使用しました。

SSTPを構築するために必要な要素が、以下の通りです。

• Windowsのドメインによるユーザ管理
• サーバの正当性を確認するためのデジタル証明書
• デジタル証明書を発行するために必要な証明書発行サービス
• 証明書発行サービスを実行するためのWebサーバ

証明書関連が非常にやっかいで、手間がかかります。逆に言えば、これをクリアすれば簡単にSSTPを使えます。

次回は、ドメインの導入方法を簡単に説明したいと思います。

大学から自宅にあるデータを取るにはどうすればいいのか?

要は、リモートアクセスってやつですね。FTPを使えばファイル転送はできます。私も初めは、「FTPで良いや」っておもっていたんですが、FTPというのはデータが暗号化されません。なので、却下。暗号化されるFTP「FTPS」などがありますが、設定が面倒です。

なので、VPNを導入することにしました。

VPNとは何か。Virtual Private Networkのことで、インターネットを経由して自宅などのプライベートネットワークに参加することです。実際には、インターネットを経由していますが、VPNを使うと自宅などのネットワークにつながったような状態になります。

VPNなんですが、種類がたくさんあります。代表的なもので、PPTP、IPSec、SSL-VPNなどがあります。これらすべて暗号化されて通信されます。これらには、それぞれ特徴があり、環境にあったものを使うのが一番です。今回はSSTPにしました。

SSTPとは、Secure Socket Tunneling Protocolのことで、SSLをベースとして作られたVPNです。SSLは、HTTPSでよく知られていますね。比較的安全かと思います。

PPTPやIPSecと呼ばれるようなVPNは、ルータを超えるのが難しかったり、NAT、プロキシ、ファイアーウォールの制約を受けますが、SSTPは、HTTPSがつながる環境さえあれば問題なく通信できます。また、プロキシ経由でも接続できる点が良いです。大学のインターネットは、プロキシ経由で接続されているので、この点は素晴らしいです。

ルータの設定も、HTTPSのポート、つまり443番ポートを解放すれば良いだけです。通信はこのポートのみで行われます。

欠点としては、対応機種の少なさです。SSTPをサポートするサーバは、Windows Server 2008のみです。フリーソフトでは不可能です。(SSTPはMicrosoft発)また、クライアントは、Windows Vista SP1以降のものでないといけません。XPやVista SPなしでは不可能です。

Windows Server 2008、Windows Vista SP1以降を持っている方なら、誰でもSSTPを構築することができます。

次回は、実際に導入します。