はじめに

本記事では、Windows Server のネットワークポリシーサービス (NPS) と、AD CS のエンタープライズ CA を使って、WiFi の認証として、802.1x 認証 (EAP-TLS) を構成する手順を紹介します。

EAP-TLS による認証を行うためには、クライアント証明書を PC へ配布する必要があります。
デバイス紛失時の証明書失効の運用を考えた場合には、クライアント毎に固有の証明書を配布することが必要です。

エンタープライズ CA を使うと、WiFi の認証に必要なルート証明書・PC ごとに固有のクライアント証明書を自動的に配布する事が出来るため、運用を考えた場合は、エンタープライズ CA 一択だと思います。

スタンドアロンCA で構成する場合は、各 PC 毎に固有のクライアント証明書を独自に配布する必要がありますが、その点に課題があります。
PC のキッティング時に、管理者側でクライアント証明書を埋めこんでしまうとか、3rd パーティ製の証明書配布ソリューションを使う方法、または、NPS や証明書の関係性をより深く理解したい場合には、以下の記事を参照いただくと良いと思います。

同様の構成をスタンドアロン CA で実現する方法

本記事の手順は、以下の公開情報を元に作成しましたが、誤記載や情報の過不足と思われる箇所もありました。もし、この公開情報を参考にして、ハマっている人が居たら、本記事が参考になれれば幸いです。
公開情報：802.1 X 有線および無線展開のサーバー証明書を展開する
https://learn.microsoft.com/ja-jp/windows-server/networking/core-network-guide/cncg/server-certs/deploy-server-certificates-for-802.1x-wired-and-wireless-deployments

構築手順

1. 前提条件を満たす構成

1-1. サーバーとデバイスの手配

オンプレミスのネットワーク上に 3 台の Windows Server が必要です。
１台以上の WiFi デバイスを搭載した Windows 10 or 11 が必要です。
※本記事では、3 台の Windows Server 2022 仮想マシンと 1 台の Windows 11 (物理 PC) で検証しています。

本記事では、以下の表の略称を使って表記していますが、参照先の記事の作成時期によって、ホスト名の表記が揃っていません。
画面キャプチャーでは、以下のホスト名が記録されています。あらかじめご承知おきください。

記事内の略称	役割	1 章キャプチャ上のホスト名	2 章以降キャプチャ上のホスト名
AD01	ドメインコントローラー (AD DS)	QiitaADSrv	NDES-AD01
NPS01	ネットワークポリシーサービス (NPS)	NPSRADIUS	NDES-NPS01
CA01	証明書サービス (AD CS)	NPSCA01	NDES-CA01
WiFi-AP	WiFi アクセスポイント	-	-
PC01	クライアント PC	-	Surface-lake831

1-2. ドメインコントローラー (AD DS) のインストール

以下の記事を参照し、AD01 にドメインコントローラーをインストールします。
※過去に投稿した記事のためホスト名が異なっていますが、同じ手順です。ホスト名が QiitaAdSrv になっていますが、ご自身の環境のホスト名に読み替えてください。

メンバサーバーのドメイン参加
ドメインコントローラーが構築できたら、その他のサーバー (NPS01 , CA01) をドメインに参加してください。
ドメイン参加手順は、上記の記事の 2 章 に記載されています。

1-3. ネットワークポリシーサービス (NPS) のインストール

以下の記事を参照し、NPS01 にネットワークポリシーサービスをインストールします。
※過去に投稿した記事のためホスト名が異なっていますが、同じ手順です。ホスト名が NPSRADIUS になっていますが、ご自身の環境のホスト名に読み替えてください。

1-4. 証明書サービス (AD CS) のインストール

以下の記事を参照し、CA01 にネットワークポリシーサービスをインストールします。
※過去に投稿した記事のためホスト名が異なっていますが、同じ手順です。ホスト名が NPSCA01 になっていますが、ご自身の環境のホスト名に読み替えてください。

CA のセットアップの種類の選択
導入に以下の画面の選択肢が表示された際には、エンタープライズ CA を選択してください

2. 証明書の自動配布の構成

2-1. サーバー証明書を自動発行するための構成

本章は、NPS01 に NPS 用のサーバー証明書を自動発行するための手順です。

2-1-1. RAS ans IAS Server セキュリティグループに NPS01 を追加する

（AD01 で作業を行います）
RAS ans IAS Server というセキュリティグループに、NPS サーバー（NPS01) を追加します。
このセキュリティグループは、後でサーバー証明書配布やアクセス認証で利用されます。

1．Actice Directory ユーザーとコンピューターを開き、RAS and IAS Servers というセキュリティグループの プロパティ を開きます。

さらに "途中のキャプチャ" を見るには、ココを押してください。

以下のように、オブジェクトの種類で コンピューター を選ぶのがポイントです。

2．以下の画面で、NPS01 のサーバー名を入力して 名前の確認 を押します。正常に認識されると、オブジェクト名に赤下線部のように アンダーライン がセットされるため、OK を押します。

3．以下のようにメンバーの一覧に追加されれば OK です。OK を押して、確定させます。

2-1-2. 証明書テンプレートの構成

（CA01 で作業を行います）
NPS01 用のサーバー証明書を自動発行するためのテンプレートを作成します。

証明機関を開きます（ココを開くと画面を確認できます）

CA01 のサーバーマネージャーで、[ツール] をクリックし、[証明機関] をクリックします。証明機関 Microsoft 管理コンソール (MMC) が開きます。

以下の画面で、左ペインの CA 名をダブルクリックして開き、証明書テンプレート を右クリックしてから、管理をクリックします。

　
証明書テンプレートコンソールが開きます。すべての証明書テンプレートが詳細ウィンドウに表示されます。
詳細ウィンドウで、RAS および IAS サーバー テンプレートをクリックします。
右ペインの操作メニューをクリックします。

　
テンプレートの複製 をクリックします。

　
テンプレートの プロパティ ダイアログボックスが開きます。
全般タブをクリックして、任意の名称に変更します。

　
セキュリティ タブの グループ名またはユーザー名 欄の追加ボタンをクリックします。

　
RAS and IAS Servers と入力して、名前の確認 を押し、赤下線部のように アンダーライン が表示されたことを確認し OK を押します。

　
RAS and IAS Servers のアクセス許可欄の許可列で、下図の通り登録と 自動登録 のチェックボックスをオンにします。OK をクリックして、証明書テンプレート MMC を閉じます。

2-1-3. 証明書の自動登録の有効化

（CA01 で作業を行います）

証明機関 MMC で、証明書テンプレート を右クリックします。新規作成 をポイントし、発行する証明書テンプレート をクリックします。

　
証明書テンプレートの選択 で、前章で構成した証明書テンプレートの名前を選択し、OK をクリックします。

　
以下のように一覧に追加されれば OK です。

ポイント
上記の画面に表示されているテンプレートは、セキュリティタブで、自動登録 の権限を付与されたコンピューターに対して証明書が自動的に発行されます。

2-2. クライアント証明書を自動発行するための構成

本章は、クライアント PC にクライアント証明書を自動発行するための手順です。

2-2-1. クライアント証明書配布用のセキュリティグループの作成と割当

（AD01 で作業を行います）

Active Directory ユーザーとコンピューターを開き、左ペインで Users を右クリックし、新規作成 をポイントし グループ を選択します。

　
グループ名には、任意の名前を付与して OK を押します。
本記事では、クライアント証明書自動登録 と命名しました。

　
下図の通り、作成したグループが一覧に表示されるため、ダブルクリックして開きます。メンバー タブを選択して追加ボタンを押します。

　
オブジェクトの種類 を押します。

　
コンピューター のみにチェックが入った状態にしてOK を押します。

　
クライアント証明書を配布（つまり EAP-TLS で WiFi 接続する PC）したいコンピューターオブジェクト名を入力し、名前の確認 を押して、赤下線部の通り、名称にアンダーラインが出た状態にします。

　
下図の通り、メンバータブの一覧に PC 名が表示されれば OK です。

以後、繰り返し配布先のクライアントの登録を繰り返します。
環境構築後でも、このグループにクライアント名を追加すれば、自動的に配布先に組み込まれます。

2-2-2. 証明書テンプレートの構成

（CA01 で作業を行います）
クライアント証明書を自動発行するためのテンプレートを作成します。

以下の画面で、左ペインの CA 名をダブルクリックして開き、証明書テンプレート を右クリックしてから、管理をクリックします。

　
証明書テンプレートコンソールが開きます。すべての証明書テンプレートが詳細ウィンドウに表示されます。
詳細ウィンドウで、コンピューター テンプレートを右クリックして テンプレートの複製 を選択します。

　
テンプレートの プロパティ ダイアログボックスが開きます。
全般タブをクリックして、任意の名称に変更します。

　
セキュリティ タブを選択し、追加をクリックします。

　
先ほど作成したクライアント用のセキュリティグループ名を入力して 名前の確認 を押します。下図の赤下線部のように アンダーライン が表示されたら OK を押します。

　
下図の通り、一覧にグループ名が登録されたらそれを選択し アクセス許可 で、登録　と 自動登録 の２か所にチェックを入れて OK を押します。

2-2-3. 証明書の自動登録の有効化

（CA01 で作業を行います）

証明機関 MMC で、証明書テンプレート を右クリックします。新規作成 をポイントし、発行する証明書テンプレート をクリックします。

　
証明書テンプレートの選択 で、前章で構成した証明書テンプレートの名前を選択し、OK をクリックします。

　
以下のように一覧に追加されれば OK です。

2-3. 証明書の自動登録を構成する

前章までの作業で、テンプレートを自動配布するための事前準備まで完了しています。
本章では、GPO を構成して、自動登録を有効化します。

2-3-1. コンピューター証明書の自動登録を構成する

(AD01で作業を行います)

スタートボタンを右クリックして Windows PowerShell (管理者) を開きます。

　
mmc と入力して、Enter キーを押し Microsoft 管理コンソール を開きます。

　
ファイル メニューの スナップインの追加と削除 をクリックします。

　
利用できるスナップイン の一覧を下にスクロールし、グループポリシー管理エディター を選択して追加を押します。

　
参照をクリックします。

　
ドメイン/OU タブ上の Default Domain Policy を選択し、[OK] をクリックします。

　
以下の通り Default Domain Policy が表示されたことを確認し完了を押します。

　
以下の通り Default Domain Policy が表示されたことを確認し OK を押します。

　
左ペインで、以下のパスを展開します。
[コンピューターの構成]、[ポリシー]、[Windows の設定]、[セキュリティの設定]、[公開キーのポリシー]
公開キーのポリシー をクリックし、右側の画面に表示された 証明書サービスクライアント - 自動登録 を右クリックして プロパティ を選択します。

　
以下の画面の通りに設定し、OK をクリックします。

構成モデル で有効を選択します。
有効期限が切れた証明書を書き換え、保留中の証明書を更新、および失効した証明書を削除する のチェックボックスをオンにします。
証明書テンプレートを使用する証明書を更新する のチェックボックスをオンにします。

2-3-2. ユーザー証明書の自動登録を構成する

前章 (2-3-1.) と同様に、左ペインで、以下のパスを展開します。
[ユーザーの構成]、[ポリシー]、[Windows の設定]、[セキュリティの設定] を展開します。
公開キーのポリシー をクリックし、右側の画面に表示された 証明書サービスクライアント - 自動登録 を右クリックして プロパティ を選択します。

　
以下の画面の通りに設定し、OK をクリックします。

構成モデル で有効を選択します。
有効期限が切れた証明書を書き換え、保留中の証明書を更新、および失効した証明書を削除する のチェックボックスをオンにします。
証明書テンプレートを使用する証明書を更新する のチェックボックスをオンにします。

ポリシーの構成が完了したら、PowerShell (管理者) ウィンドウ上で gpupdate /force を実行します。

2-4. 証明書の配布確認

このタイミングで証明書の配布状況を確認します。
以下と同様に配布されていれば証明書配布の構成は問題ありません。

2-4-1. NPS サーバー

NPS01 を再起動してから、再びサインインします。
　
ファイル名を指定して実行から、certlm.msc を実行します。

　
信頼されたルート証明機関 ストア配下に ルート証明書 が配布されていれば OK です。

　
個人ストア配下に、NPSサーバー名と同一の サーバー証明書 が配布されていれば OK です。

　
サーバー証明書をダブルクリックで開き、証明のパス タブを開きます。
赤枠の通りに、証明書チェーンが構成されており、「この証明書は問題ありません。」と表示されていれば OK です。

2-4-2. クライアント PC

クライアント PC を再起動してから、再びサインインします。
　
ファイル名を指定して実行から、certlm.msc を実行します。

　
信頼されたルート証明機関 ストア配下に ルート証明書 が配布されていれば OK です。

　
個人ストア配下に、ホスト名と同一の クライアント証明書 が配布されていれば OK です。

　
クライアント証明書をダブルクリックで開き、証明のパス タブを開きます。
赤枠の通りに、証明書チェーンが構成されており、「この証明書は問題ありません。」と表示されていれば OK です。

2 章の作成にあたっては、以下の記事を参考にさせていただきました。

3. NPS サーバーの構成

(NPS01 で作業を行います)

サーバーマネージャーから、ネットワークポリシーサーバーを起動します。

　
802.1Xワイヤレス接続またはワイヤード（有線）接続用の RADIUS サーバー を選択して802.1X を構成する のリンクをクリックしてウィザードを開始します。

　
ワイヤレス接続をセキュリティで保護する を選択し、名前（任意で変更）を設定し次へを押します。

　
NPS サーバーは、あらかじめ許可された RADIUS クライアントからのみ、認証を受け付けます。
許可されていない RADIUS クライアントから、認証要求が来た場合は、拒否されます。

許可する RADIUS クライアントを追加するために、追加を押します。

　
ここで、RADIUSクライアント（WiFI-AP）の情報を入力して最後に OK を押します。
・フレンドリ名は、あとでこの設定がどの WiFi-AP のものだったのかを識別するための名前です。メーカー名や機種名、機器の資産番号などを設定します。
・アドレスは、WiFi-AP 自身の IP アドレスを設定します。
・緑下線の共有シークレットは、任意のパスワードを入力して、控えておきます。
　※共有シークレットは、次章で構成する RADIUS クライアント (WiFi-AP) 側の設定と同一の文字列である必要があります（つまり、合言葉）

　
下図の通りに追加されたことを確認して次へを押します。

　
Microsoft 保護された EAP (PEAP) を選択して構成を押します。

なお、以下の画面が出た場合は、サーバー証明書がうまく導入されていません。
2 章 の手順を見直して、抜けが無いかどうか再確認してください。

8．保護された EAP の内部メソッドの設定を変更していきます。
・Before = セキュリティで保護されたパスワード (EAP-MSCHAPv2)
・After = スマートカードまたはその他の証明書（※ これが EAP-TLS の事です）
　以下の画面で追加を押します。

9．スマートカードまたはその他の証明書 を選択して OK を押します。

10．以下の画面で セキュリティで保護されたパスワード (EAP-MSCHAPv2) を選択して削除を押します。

11．以下の画面の表示になった事を確認して OK を押します。
この設定で、NPS サーバーは、PEAP (EAP-TLS) を受け付ける状態になります。

12．以下の画面に戻るので、次へを押します。

13．802.1x 認証をさせたいオブジェクトのグループを選択する画面です。
未選択の場合は、全ユーザーが対象となるため、そのまま次へ進んで問題ありません。
ここで、複数の条件（ユーザーのグループと、コンピューターのグループなど）を選択した場合は、アンド条件になるので、覚えておきましょう。

14．以下の画面では、そのまま次へを押します。

15．以下の画面になれば完了です。完了を押してウィザードを終了させます。

4. WiFi アクセスポイント側の設定（例）

NPS サーバーと RADIUS で連携させる WiFi アクセスポイントを構成します。

以下の記事に、例として Cisco 社の WiFi-AP で設定した際の内容などを説明してあります。

RADIUS サーバーの IPアドレスには、NPSサーバーの IPアドレスを設定します。
RADIUS シークレットには、前章で設定した NPS サーバーの共有シークレットを入力します。
※一致していないと、認証することができません。

5. クライアント配布用 WiFi プロファイルの構成

(AD01 で作業を行います)

5-1. ポリシーの適用先となる OU の作成

サーバーマネージャーのツールから Active Directory ユーザーとコンピューター を開きます。

　
ドメイン名を右クリックして、新規作成 をポイントし、組織単位 (OU) を選択します。

　
任意の名称で OU を作成します。以下では WiFi_Client という名称にしています。

　
緑の下線部のように OU が作成されます。Computers コンテナから、クライアント PC を選択して、新規作成した OU へ移動します（複数選択可）

　
以下のメッセージには、はいで応答します。

　
以下の通り、OU の配下に移動されていれば OK です。

以後、クライアントをドメインに参加させたら、この OU へ移動させることで WiFi プロファイルの配布先として反映されます。

5-2. WiFi プロファイル配布用 GPO の作成

サーバーマネージャーのツールから グループポリシーの管理 を開きます。

　
前章で作成した OU 名を右クリックして このドメインに GPO を作成し、このコンテナーにリンクする を選択します。

　
任意の名称を入力して OK を押します。

　
作成された GPO を右クリックして編集を選択します。

　
以下のパスを開き Windows Vista 以降のリリース用の新しいワイヤレスネットワークポリシーの作成 を選択します。
[コンピューターの構成]-[ポリシー]-[Windows の設定]-[セキュリテイの設定]-[ワイヤレスネットワーク (IEEE 802.11) ポリシー]

　
任意のポリシー名を入力し　クライアントの Windows WLAN 自動構成サービスを使用する にチェックを入れて追加を押します。

　
追加ボタンの上に選択肢が表示されるので インフラストラクチャ を選択します。

　
接続タブで、WiFi プロファイル名 を入力します。
※ここに入力したプロファイル名が、クライアント PC 上の SSID 一覧に表示されるようになります。
続けて、ネットワーク名 (SSID) に接続する WiFi-AP で構成済みの SSID を入力して追加を押します。

　
セキュリティ タブでは プロパティ を押します。

　
以下の画面で AD CS から発行された ルート証明書（証明機関名）にチェックを入れます。認証方法の選択欄で スマートカードまたはその他の証明書 を選択して構成を押します。

　
以下の画面でも、同様に AD CS から発行された ルート証明書（証明機関名）にチェックを入れて OK を押します。

　
以下の画面に戻るので OK を押します。

　
認証モードは コンピューターの認証 を選んで OK を押します。

　
以下の通り、作成した WiFi プロファイルが一覧に表示されれば OK です。
OK を押して確定させます。

ポリシーの構成が完了したら、PowerShell (管理者) ウィンドウ上で gpupdate /force を実行します。

本章で参考にした公開情報
なおここには EAP-TLS の方法までは記載されていないため、自力で設定値を検討した結果になっています。

動作確認

ここまで構成が完了すると、クライアント PC から WiFi 接続ができるようになります。
※クライアント証明書自動登録 のセキュリティグループに追加したクライアント PC が対象です。

クライアント PC をドメインコントローラーの環境（有線 LAN）に接続して、再起動 または gpupdate /force を実行することで、クライアント証明書 と、WiFi プロファイル が配布されます。
　
有線 LAN のケーブルを抜きます。
これで、WiFi-AP が近くにあれば、EAP-TLS で認証されて WiFi の接続が確立されるはずです。

接続テスト

上記までの手順が完了すると、クライアント PC から WiFi へクライアント証明書の認証を使って接続することが可能になっています。

クライアント証明書がインポートされた PC から接続できること
クライアント証明書が存在しない PC からの接続ができないこと
失効したクライアント証明書がインポートされた PC から接続できないこと

トラブルシューティング

エラー例：その１

（エラーメッセージ）
"サインインするための証明書が必要なため、接続できません。IT サポート担当者に問い合わせてください。"

NPS サーバー側、クライアント側の双方で、以下のセットが適切に配置されている必要があります。作業ミスがないかどうか、再度確認してください。

"信頼されたルート証明機関" にルート証明書がインポートされている
WiFi プロファイルでルート証明書が明確に選択されている

証明書関連で接続できない場合のイベントログの一例

ログの種類：セキュリティ
イベント ID：6273
キーワード：失敗の監査
タスクのカテゴリ：Network Policy Server
理由コード：295
理由：証明書チェーンは正しく処理されましたが、証明機関の証明書の１つがポリシープロバイダーによって信頼されていません。

エラー例：その２

（エラーメッセージ）
"このネットワークに接続できません"

イベントログに、以下のエラーが出て接続できない場合があります。

ログの種類：セキュリティ
イベント ID：6273
キーワード：失敗の監査
タスクのカテゴリ：Network Policy Server
理由コード：259
理由：失効サーバーがオフラインだったため、失効関数は失効を確認できませんでした。

この場合は、NPS サーバーが、証明書に定義された CRL へアクセスできない状況です。
以下の観点をチェックしてください。

NPS サーバー上で、CRL のアドレスへの名前解決に異常が出ていないか？
NPS サーバーから、CRL のアドレスへの疎通は？

なお、問題の切り分けの一助として、NPS サーバーがクライアント証明書の失効確認を無効化することもできるので、これを試して接続が可能になるかどうか様子を見ることもできます。

NPS サーバー上で、以下の公開情報に記載されているレジストリ（NoRevocationCheck）キーに、値 "1" を設定してください。サーバーを再起動することで設定が反映されます。

上記は、あくまで証明書の失効確認のエラーを回避できない場合の一時的な回避策なので、証明書の失効を運用に組み込む際には、NoRevocationCheck キーを削除して、適切な CRL の構成を行うようにしてください。

トラブルシューティング関連の情報リンク

証明書失効の実施手順

クライアント証明書が PC やユーザー事に配布されていれば、 PC 紛失時やユーザーの離職にともなって、証明書失効の運用が可能になります。
クライアント証明書を発行する目的の一つは、これをやりたい・・って事だと思います。

NPS サーバーは、802.1x認証時にクライアント PC から提示されたクライアント証明書が、サーバーの "信頼されたルート証明機関" 内にあるルート証明書と "証明書ペア" を構成できるのかをチェックしています。"ペア" でなければ認証エラー、 "ペア" であれば、認証成功となります。

その際に、NPS サーバーがクライアント証明書に記載されている CRL (失効リスト) へアクセスして、証明書が失効されていないかどうかも評価します。

そのため、運用管理者が失効リストに、クライアント証明書の拇印を登録することで、紛失したクライアントPC からのアクセスをブロックすることも可能になるという仕組みです。

以下の手順にて、証明書を失効できます。

NPS + WiFi + 802.1x 認証 (EAP-TLS) 構築手順（エンタープライズ CA 編）