無線LANのメリットや運用の注意点、電波や規格などの用語、要件定義や基本設計から
設定・構築・テストにいたるまで、たくさんのことをまとめています。
さらに、Arubaの機器を中心とした無線LANの設計と設定を解かりやすく解説しています。

タグ:証明書

 ユーザ数が多くなると、EAP-TLS用のクライアント証明書を配布するのは大変な作業である。そこで、WindowsServer2012のActiveDirectory(AD)を利用して、クライアント証明書(ユーザ証明書)を自動的に配布する仕組みを紹介する。

前提条件:
・WindowsServer2012で、ActiveDirectoryの設定が終わっていること
・WindowsServer2012で、証明機関のインストール構成が終わっていること。

(1)「管理ツール」から「証明機関」を起動
000















(2)証明書テンプレートを作成する。
左ペインから「証明書テンプレート」を右クリックして「管理」を選択
001














テンプレート「ユーザ」を右クリックし、「テンプレートの複製」を選択。
002














「ユーザ」テンプレートを複製し、ユーザに証明書を自動配布するテンプレートを作成する。

証明書テンプレートのプロパティが表示される。互換性はデフォルトでよい。
特にWindowsXPなどが残っている場合に下位互換性が確保できるからだ。
003

































「全般」タブを開き、テンプレート名を変更する。ここでは、「ユーザ証明書の自動発行」としておく。
「有効期間」は証明書の有効期間、「更新期間」は有効期限が切れるどのくらい前に更新を行うかの設定である。
005
































「要求処理」タブでは、秘密キーのエクスポート(取り出し)のチェックをはずしておこう。
秘密キー(秘密鍵)が第三者に漏れてしまうと、なりすましができてしまうからだ。
007
































「サブジェクト名」タブでは、「サブジェクト名に電子メール名を含める」と「電子メール名」のチェックをはずしておく。ADで電子メールアドレスが登録されていないと、証明書の自動発行が失敗してしまうからだ。
009
































「セキュリティ」タブで、「Domain Users」に読み取りの許可と自動登録の許可を与える。
この設定を行うことで、Domain Users、つまりADの全ユーザがこのポリシーを使った証明書の自動発行の許可を受ける。
011































ここまでの設定が終わったら、「適用」「OK」を押して保存する。

(3)証明書テンプレートの発行
 ここでは(2)で作った証明書テンプレートを発行(有効化)する。

「証明機関」の「証明書テンプレート」を右クリックし、「新規作成」「発行する証明書テンプレート」を選択する。
012















「証明書テンプレートの選択」で、(2)で作成したテンプレート(ここでは、「ユーザ証明書の自動発行」)を選択し、「OK」を押す
013

















「証明機関」の「証明書テンプレート」で、「ユーザ証明書の自動発行」のテンプレートが表示されるのを確認。
014

















証明書テンプレートの作業はここまでである。

(4)グループポリシーオブジェクト(GPO)の割り当て
証明書テンプレートの作成だけでは、まだ証明書の自動配布はできない。自動配布を行うADのオブジェクト(ドメイン全体、OU、サイトなど)に対して、GPOを使って証明書自動配布のポリシーを割り当てる必要がある。

「管理ツール」から「グループポリシーの管理」を起動する。
015
















GPOを割り当てるオブジェクト(ここではドメイン全体)で右クリックし、「このXXにGPOを作成し、このコンテナーにリンクする」を選択する。
016


















GPO名を入力する。ここでは「ユーザ証明書の自動配布」とする。
017











「グループポリシーの管理」ツールで、先ほど作ったGPOが表示されるので、右クリックして「編集」を選択する。
018


















「グループポリシー管理エディタ」で、「ユーザの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「公開キーのポリシー」を選択する。
右ペインに「証明書サービスクライアント」が出てくるので、ダブルクリックする。
019


















構成モデルを「未構成」から「有効」に変更し
・有効期限が切れた証明書を書き換え、保留中の証明書を更新、および執行した証明書を削除する
・証明書テンプレートを使用する証明書を更新する
の2つにチェックを入れる
021





























適用を押して、設定は完了である。
コマンドラインを起動し「gpupdate」コマンドを実行しておく。このコマンドで、GPOはドメインに即時反映される。

(5)確認方法
クライアントPCでActiveDirectoryにログオンし、「certmgr.msc」(証明書管理ツール)を確認する。
ユーザ証明書が発行できていれば、「個人」のところに証明書があるはずだ。
025














また、サーバ側の「証明機関」管理ツールの、「発行した証明書」のところにも、発行したユーザ証明書が表示されているはずである。
023


















もしうまく発行できない場合、イベントビューアで確認すると失敗の理由が表示されていることもある。

iOSデバイス(iPhone,iPad,iPad mini,iPod touch)での802.1X認証は,接続だけでよければ簡単である。ただし,RADIUSサーバ側の証明書を厳密に検証しようとすると,iPhone構成ユーティリティでの設定が必要だ。

まず,簡易版として簡単にEAP-TLSを設定する方法を紹介する。この方法では,RADIUSサーバ証明書の検証はできないが,RADIUSサーバ側ではクライアントの証明書の検証はできる。

設定の流れは,
①CA証明書のインポート
②クライアント証明書・秘密鍵(PKCS#12)のインポート
③無線LANの設定
だ。

①CA証明書のインポート
・CA証明書ファイル(拡張子.cer)と、PKCS#12形式のクライアント証明書・秘密鍵ファイル(拡張子.p12)を、メールでiOSデバイスに送る。
・CA証明書をタップ。
001

















CA証明書が表示されるのでインストールをタップする。
※この段階で「信頼されていません」が出るのは,この証明書を信頼するための情報がないため。
002

































警告が出るので,内容を確認して「インストール」をタップ。
003

































パスフレーズを聞かれるので,入力。
004

































CA証明書のインストールが完了。「完了」をタップすると,終了。
005

































②クライアント証明書・秘密鍵のインポート

メールで送信した,PKCS#12のファイルをタップする。
001
















証明書インポートの画面が出るので,「インストール」をタップ。
001

































確認画面が出るので,再度「インストール」をタップ。
002

































パスコードを入力
003

































PKCS#12ファイルに設定したパスワードを入力。
(PKCS#12ファイル作成時に設定したパスワード)
004
































クライアント証明書のインポートが完了。「完了」で終了。
005

































③無線LAN(EAP-TLS)の設定

設定で,Wi-Fiを選択する。802.1Xを設定したSSIDをタップする。
001

































認証設定の画面が出るので,「モード」をタップする。
002

































デフォルトでは「自動」になっているので,「EAP-TLS」を選択する。
003

































前の画面に戻ると「パスワード」だった箇所が「ID」に変わっている。「ID」をタップする。
004

































インポートしたクライアント証明書が表示されているので,チェックし,前の画面に戻る。
005

































パスワード入力画面に戻っても,IDは表示されない。実際にはクライアント証明書が登録されているので,そのまま「接続」をタップする。
006
































RADIUSサーバ証明書の確認画面が出てくる。未検証となる理由は,CA証明書をインポートしただけではRADIUSサーバ証明書を検証してくれないから。
接続はできるので,念のため詳細を確認後,「了解」をタップ。
007

































WiFi設定画面に戻る。802.1Xを設定したSSIDに接続できていることを確認する。
008




































スポンサードリンク

このページのトップヘ