はじめに
Windows 環境 で 802.1x 認証を行う際に、この対応が必要です。
- PEAP (MS-CHAPv2) を使う場合に、証明書 の "確認画面" を抑制したい場合(任意)
- EAP-TLS または PEAP (EAP-TLS) を使って認証したい場合(必須)
PEAP (MS-CHAPv2) の場合は、クライアント側の ウザイ確認画面の抑制のためだけですが、EAP-TLS , PEAP (EAP-TLS) の場合は、NPS サーバー側で クライアント証明書 のチェックの際に利用されるため、必須の作業となります。
以下の記事で、NPS + WiFi + 802.1x 認証 を行うための手順について解説しており、その中で、NT Auth ストア の件も出てきますので、まずは このサイトを参照ください。
1. 事前準備
- ブラウザで http:// [ADCSのIP] /certsrv へアクセス
- ルート証明書をダウンロード
2. NT Auth ストア への インポート 方法
2-1. ドメイン環境 の 場合
ドメイン環境の場合は、ドメインコントローラー へ インポートすることで、ドメインに参加したコンピューターへ配布されます。
- ドメインコントローラー へ ログオン
- コマンドプロンプトを管理者実行し、証明書を DL したフォルダへ移動、以下のコマンドを実行
certutil -dspublish -f [ルート証明書のファイル名] NTAuthCA
3."gpupdate /force" コマンド を実行して ポリシー を反映させます。
結果は、3 章 の 確認方法を参照してください。
2-2. ドメイン外 の クライアント・NPSサーバー の 場合
ドメイン外 とは、WORKGROUP だったり 別のドメインに参加している 場合を指します。
以下の EAP を利用する際に、各 ホスト毎に 作業が必要です。
- PEAP (MSCHAPv2) : すべての クライアント PC
- EAP-TLS , PEAP (EAP-TLS) : すべての クライアント PC , NPS サーバー
- クライアント へ ログオン
- コマンドプロンプトを管理者実行し、証明書を DL したフォルダへ移動、以下のコマンドを実行
certutil -enterprise -addstore NTAuth [ルート証明書のファイル名]
3. 確認方法
各ホストの NT Auth ストア に配布されたレジストリ値と ルート証明書の 拇印 が一致していることを確認します。
3-1. 配布確認
ルート証明書 の 拇印 が ちゃんと配布されたのかどうかは、配布先のホストで 以下のレジストリを確認します。
※ドメイン環境で配布されていなかった場合、"gpupdate /force" を実行しましょう。
3-2. 一致確認
レジストリに配布された値と、"信頼されたルート証明機関" にインポートされている ルート証明書 の 拇印 の値が一致していることも確認しましょう。
ココがズレていると、意味がありません。
この手順では、ルート証明書 が "NT Auth ストア" にインポートされるのみで、"信頼されたルート証明機関" にインポート はされません。別途の作業にて ルート証明書 を 、"信頼されたルート証明機関" に インポートしてください。
参考情報
(公開情報)
私の記事では、以下の公開情報のうち「方法 2 - Certutil.exeを使用して証明書をインポートする」の手順を採用して記載しています。