無線LANのメリットや運用の注意点、電波や規格などの用語、要件定義や基本設計から
設定・構築・テストにいたるまで、たくさんのことをまとめています。
さらに、Arubaの機器を中心とした無線LANの設計と設定を解かりやすく解説しています。

カテゴリ: 7.端末の設定

Android端末で、認証局証明書(ルート証明書)をインポートするにはコツが必要。PEM形式(Base64 で符号化された証明書で、「-----BEGIN CERTIFICATE-----」と「-----END CERTIFICATE-----」で囲まれている)にしておく必要がある。内容がPEM形式であれば、拡張子は.pemでも.cerでもよい。

証明書ファイルの内容を確認する。もし、下記のような形式であれば、「-----BEGIN CERTIFICATE-----」以下の部分だけを残したファイルを作成する。
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
・・・(中略)・・・

-----BEGIN CERTIFICATE-----
MIID3zCCAsegAwIBAgIJAO4ZNcB/ajllMA0GCSqGSIb3DQEBCwUAMGQxCzAJBgNV
BAYTAmpwMQ4wDAYDVQQIDAVqYXBhbjETMBEGA1UECgwKdml2YS1tdXNlbjEQMA4G
・・・(中略)・・・
zEX6ugkmC6Ylklla7SVMOejnBSVNjQ/A167IS3PpvzHCm/TkgfzRXqpU7IKRDb8n
ll9gQOlwtxxgFqJijxTvM0kbejw8B314F/frqufvZApcrOE=
-----END CERTIFICATE-----
下記のように変更する。(上記の赤字部分を削除する)
-----BEGIN CERTIFICATE-----
MIID3zCCAsegAwIBAgIJAO4ZNcB/ajllMA0GCSqGSIb3DQEBCwUAMGQxCzAJBgNV
BAYTAmpwMQ4wDAYDVQQIDAVqYXBhbjETMBEGA1UECgwKdml2YS1tdXNlbjEQMA4G
・・・(中略)・・・
zEX6ugkmC6Ylklla7SVMOejnBSVNjQ/A167IS3PpvzHCm/TkgfzRXqpU7IKRDb8n
ll9gQOlwtxxgFqJijxTvM0kbejw8B314F/frqufvZApcrOE=
-----END CERTIFICATE-----
この形式になっていれば、Androidでルート証明書としてインポートできる。

Android 4.0.4(P-07D)で動作確認。

Android4.0(P-07D)における、認証局証明書(CA証明書)のインポート方法。

まず、CA証明書(ここでは、cacert_base64.crt)のファイルをメールなどであらかじめ送信しておく。
CA証明書をタップすると、証明書の名前を聞かれるので、入力する。
002
















004

















#CA証明書のファイルの内容を自動的に反映してもらいたいところだが、
#残念ながらできない模様

証明書の名前を入力したらOKする。これで作業完了。


<補足説明1>
端末に入っているCA証明書の確認方法。

端末の設定>セキュリティ>信頼できる認証情報
で、CA証明書の一覧(デフォルトで入っているもの、ユーザが後から追加したもの)が確認できる。

006



















<補足説明2>
不要になった証明書の削除方法。

端末の設定>セキュリティ>認証ストレージの消去
で、証明書を消すことができる。

Screenshot_2013-07-27-16-17-34


















<補足説明3>
メールなどでCA証明書を送信できない場合でもインポートする方法がある。
SDカードのルートにCA証明書入れておき
「端末の設定>セキュリティ>SDカードからインストール」
でインポートする。







AndroidでPEAPを使って無線LANに接続する方法。

困ったことに、CA証明書をインポートしていない状態でもPEAP認証できてしまう機種が多い模様。(証明書のワーニングも出てこない)

CA証明書なしでPEAP認証ができてしまった機種は下記のとおり。
・T-01C(Android 2.2.2)
・P-07D(Android 4.0.4)
・N-05D(Android 4.0.4)
・Nexus7(android4.2.2)
#その他の機種の情報があれば、ぜひご提供ください。

ここでは、Andoroid4.0系における、PEAP認証の設定方法を紹介する。

「端末の設定>無線とネットワーク>Wi-Fi」で、PEAP認証用のSSIDをタップする。
(ここでは、aruba-1x-Freeradius)
001



















接続パラメータを聞かれるので、「EAP方式」でPEAPを選択する。
CA証明書は、なぜか「(指定なし)」のままでも接続できてしまう。
002




















「ID」にユーザ名、「パスワード」にパスワードを入力し、「接続」をタップ。
003




















接続が完了し、IPアドレスを取得したら、「接続済み」の表示になる。
004





















SSIDをクリックすると、接続状況を確認できる。
005






















PEAP認証がうまくできない機種
SH106
SO02E

 

iPhone、iPad、iPodtouchなど、AppleのiOS7.0でもPEAP認証は使える。
手順はiOS6.1系と同じ。

まず、設定で802.1x認証用を有効にしたネットワークを選択する。(ここでは、aruba-1xとする)
001


ユーザ名とパスワードを聞かれるので、入力する。
002




RADIUSサーバの証明書の確認画面が出てくる。CA証明書を設定していなため「未検証」と表示されるが、「了解」をタップすれば接続できる。
003


「詳細」を開くと、証明書の詳細情報を見ることもできる。
004


接続できると、SSIDの横にチェックマークが表示される。
005

SSID名をクリックすると、取得したアドレスなどを確認できる。
006



端末(PCやタブレット)は、どうやってAPに接続するのか。
まず、接続可能なAPを探す必要があり、その方法は2つある。①Active Scanと②Passive Scanである。①は自発的に探しに行き、②はAPからメッセージを受動的に受け取る。詳しくはActive ScanとPassive Scanの記事を確認いただきたい。
以下のように、Windowsの画面右下の無線のアイコンをクリックすると、接続可能なAPのSSID一覧が表示される。
aplist

















以下は、「コントロール パネル」「ネットワークとインターネット」「ワイヤレス ネットワークの管理」の画面であり、ここでは設定したSSID一覧が表示される。Windowsの場合、この順番が接続の優先順位になる。
wlan












また、同じSSIDの中でどのAPに接続するかは、最も電波が強いAPに接続する。
AP側でチャンネル設定することも、チャンネルを意識することもない。
また、より強い電波を感じたら、自動的にそのAPに接続する。これにより、APの障害やローミングにも対応できる。

Windows7における設定を紹介する。とても簡単である。

設定画面を開く
「コントロール パネル」「ネットワークとインターネット」「ネットワークと共有センター」「新しい接続またはネットワークのセットアップ」「ワイヤレスネットワークに手動で接続します」より、無線LANの設定を行う。

無線の設定を入れる
wlc2
・ネットワーク名:SSIDを入れる。当然ながら、AP(またはWLC)のSSIDと合わせる。
・セキュリティの種類や暗号化の種類、セキュリティキーも当然ながらAP(またはWLC)と合致させる。
以上です。

自動で接続される
少し時間がかかるかもしれないが、接続されると、画面右下の時計の横に、接続されたアイコンが表示される。
pc2
場合によってはなかなかつながらない、そんなときは上記のアイコンをクリックして無線LANの状態を表示する。接続を押して手動での接続も可能。
pc

Windowsにログイン(AD参加)して、PEAPの認証の設定をします。
でも、(無線の)ネットワークがつながっていなければ、ADサーバにアクセスできず、Windowsのログインができません。
どちらが先に行われるのでしょうか。
基本は、PEAP認証です。ネットワークが接続されないと、Windowsの認証ができないからです。(Windowsのキャッシュログオンもありますが)

流れは、以下になります。
①PCの電源を入れる→PCが起動する
②無線LANの認証が行われる。(1度でもPEAPでログインしている必要がある。その情報を使ってネットワークが接続される)
③(無線の)ネットワークが確立されているので、PCのログイン画面でIDとPWを入力して、WindowsのADのログインをする
参考ですが、②は無線LANの認証なので、認証先はWLC経由でRadiusサーバです(RadiusからADに問い合わせるケースもあり)。③はADのログインなので、認証先はADサーバです。
i 

じゃあ、共有端末に複数ユーザがログインする場合は、最初の無線LANの認証は管理者ユーザで、次の、PCへのログインは、別のユーザでログインするとかも可能ですか?
まあ、可能ですが、少しややこしいかもしれない。
特にTLSなどの証明書での認証をする場合、ユーザプロファイル上に証明書があるでしょうから、検証をした方が無難かもしれませんね。

スポンサードリンク

このページのトップヘ