LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@carol0226(Shuji Noguchi)inNTTデータ先端技術

NPS + WiFi + 802.1x 認証 (EAP-TLS) クライアント側の設定

Last updated at Posted at 2024-01-14

はじめに

802.1x認証 - EAP-TLS または PEAP (EAP-TLS) の WiFi アクセスポイントに接続する際に必要な Windows クライアント 側 の設定です。

サーバーや WiFi-AP 側 の設定については、以下の記事を参照してください。

1~3 章 の作業は、PC 毎に いちいちやっていられませんよね?
なので、PC 単体で 接続テスト が成功したら、2章 , 3 章 の設定は GPO を使って配布するのが ベストプラクティス です。

1. NT Auth ストア に ルート証明書 を インポート する

NT Auth ストア に ルート証明書 の 拇印 が登録されていることが確認できれば OK です。
※PEAP (MS-CHAPv2) から構成変更する場合は、既に 本作業が完了している場合があります。

ドメインコントローラー にて、以下の記事に記載された対処を行ってください。
ドメイン に参加した PC にも反映されます。
WORKGROUP の PC の場合は、各マシンごとに対応が必要です。その場合の手順も、以下の記事に記載してあります。

2. クライアント の 信頼されたルート証明機関 へ ルート証明書 を インポート する

"接続テスト用" または "運用向け" いずれかの方法を実装し、各クライアントの 信頼されたルート証明機関 に ルート証明書 が存在する状態であれば、OK です。
※PEAP (MS-CHAPv2) から構成変更する場合は、既に 本作業が完了している場合があります。

2-1. ルート証明書 の 単体 PC 用手順(接続テスト用)

NPS 用 サーバー証明書 と ペア となった ルート証明書 が、クライアント の「信頼されたルート証明機関」にインポートされている必要があります。

以下の記事を参照し、クライアント の 信頼されたルート証明機関 へ ルート証明書 をインポートしてください。

AD CS で、HTTP のファイアウォールが許可されて、クライアントPC がドメイン参加 されていれば、クライアント の ブラウザ で 直接 AD CS の IP に接続して クライアント証明書 を ダウンロードすることもできます。

2-2. ルート証明書 の GPO 配布方法(運用向け)

(公開情報:グループポリシー を使用してクライアントコンピューターに証明書を配布する)

3. WiFi プロファイルの設定

"接続テスト用" または "運用向け" いずれかの方法を実装し、WiFi プロファイルを作成します。
※ PEAP (MS-CHAPv2) から構成変更する場合は、旧 WiFiプロファイルを削除してから 新規構成 してください。

3-1. WiFi プロファイル の 単体 PC 用手順(接続テスト用)

以下の記事を参考に、EAP-TLS または PEAP (EAP-TLS) で接続するための WiFi プロファイルを作成します。

(重要)
WiFi プロファイルは、一度 WiFi-AP に接続されると そのまま PC 内に保存されて、以後 同じ SSID に接続する際に転用されます。
接続しなおす テスト等 を行う場合は、毎回 WiFi プロファイル を 削除してください。

  • netsh wlan show profile で、プロファイル を一覧表示
  • netsh wlan delete profile = [プロファイル名] で、プロファイル を削除

※ GUI でも 接続中の WiFi 名 を、右クリックして "削除" できます。

コマンドの実行例は、以下のリンク先で確認してください。
https://qiita.com/carol0226/items/0aa29d3a3004f5241012#コマンドでの確認方法

3-2. WiFi プロファイル の GPO 配布方法(運用向け)

(公開情報:Windows で EAP プロファイルを構成する)
グループ ポリシー エディター (デスクトップとサーバー)
→ この章の手順で WiFi プロファイル を GPO で配布します。

4. 証明書の失効確認の無効化(オプション)

802.1x 認証は、PC がネットワークに接続する前に行われる アクション です。
クライアント と NPS サーバー間 の通信では、サーバー証明書 が使われます。
クライアントは、NPS サーバー から受け取った サーバー証明書 の失効確認を行います(証明書認証の一般的なプロセスとして)
しかし、そのタイミングでは、 失効リスト (CRL) へアクセスする事が叶わず、失効確認エラー となることがあります(基本的には、CRL のキャッシュが使われて 問題が出ないハズが、100% そうもいかない場合があるらしい)
すると、802.1x 認証が成立せず、WiFi に接続できない事態に陥ります。

そのため、クライアントPC 側で、サーバー証明書 を 失効確認 することなく受け入れる構成を行っておくことで、接続を安定させられます。

各クライアントPC 上で、以下の公開情報に記載されているレジストリ(NoRevocationCheck)キーに、値 "1" を設定してください。

→ この記事は、NPS サーバー側の処理について記載されていますが、作業をするのは、クライアントPC 上のレジストリです。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?