はじめに
802.1x認証 - EAP-TLS または PEAP (EAP-TLS) の WiFi アクセスポイントに接続する際に必要な Windows クライアント 側 の設定です。
サーバーや WiFi-AP 側 の EAP-TLS 設定については、以下の記事を参照してください。
それから、EAP-TLS の WiFi プロファイルの設定 を行う前に、クライアントPC へ ルート証明書 のインポート と NT Auth ストア の作業も必要となります。本記事の手順を行う前に、以下の記事の内容の手順が実施済かどうか確認し、未実施であれば 実施してください。
上記の作業は、MS-CHAPv2 の場合は任意要件ですが、 EAP-TLS や PEAP (EAP-TLS) を構成する場合には、必須要件となっています。
1. WiFi プロファイル設定手順
- 「コントロールパネル」-「ネットワークとインターネット」-「ネットワークと共有センター」を開きます。
- 「ネットワークと共有センター」の画面で「新しい接続またはネットワークのセットアップ」を開きます。
- 「ワイヤレスネットワークに手動で接続します」を選んで「次へ」を押します。
- 以下の設定を入力して「次へ」を押します。
・ネットワーク名 = [SSID]
・セキュリティの種類 = "WPA2-エンタープライズ"
※WiFi AP 側 の構成によっては、WPA3-エンタープライズ などの候補になりますが、パーソナルではなく、エンタープライズ を選んでください。
- 「接続の設定を変更します」を選びます。
2. EAP プロトコルごとの作業
利用する EAP プロトコルに応じて、"2-1. EAP-TLS" または "2-2. PEAP (EAP-TLS)" のいずれかの作業を行ってください。
2-1. EAP-TLS の場合
- 「セキュリテイ」タブを選び、「ネットワークの認証方法の選択」で、「Microsoft: スマートーカードまたはその他の証明書」を選択して「設定」ボタンを押します。
- 以下の画面で、「信頼されたルート証明機関」では、NPS サーバー にインポートした サーバー証明書 と ペア になる ルート証明書 を選んで、「OK」を押す。
- 以下の画面に戻るので、「詳細設定」ボタンを押す。
2-2. PEAP (EAP-TLS) の場合
- 「セキュリテイ」タブを選び、「ネットワークの認証方法の選択」で、「Microsoft: 保護されたEAP (PEAP)」を選択して「設定」ボタンを押します。
- 以下の画面で、「信頼されたルート証明機関」では、NPS サーバー にインポートした サーバー証明書 と ペア になる ルート証明書 を選んで、「スマートカードまたはその他の証明書」を選択し「OK」を押す。
- 以下の画面に戻るので、「詳細設定」ボタンを押す。
3. 詳細設定(認証モードの指定)
認証モード に応じて、"3-1. ユーザー認証" または "3-2. コンピューターの認証" を選択して実施してください。
3-1. ユーザー認証
クライアント証明書を ユーザー名で作成して、ユーザーストア にインポートする場合は、こちら
「認証モードを指定する」にチェックを入れて「ユーザー認証」を選択して「OK」を押す。
3-2. コンピューターの認証
クライアント証明書を PC 名で作成して、ローカルストア にインポートする場合は、こちら
「認証モードを指定する」にチェックを入れて「コンピューターの認証」を選択して「OK」を押す。
4. コマンドでの確認方法
(重要)
WiFi プロファイルは、一度 WiFi-AP に接続されると そのまま PC 内に保存されて、以後 同じ SSID に接続する際に転用されます。
接続しなおす テスト等 を行う場合は、毎回 WiFi プロファイル を 削除してください。
- netsh wlan show profile で、プロファイル を一覧表示
- netsh wlan delete profile = [プロファイル名] で、プロファイル を削除
※ GUI でも 接続中の WiFi 名 を、右クリックして "削除" できます。
netsh wlan show profile
保存されている WiFi プロファイル の 一覧 を取得します。
netsh wlan show profile name=[プロファイル名]
取得した一覧の中から、プロファイル名 を指定して、詳細な情報を表示できます。
EAP-TLS の場合の結果
- EAP の種類 : Microsoft: スマート カードまたはその他の証明書
- 802.1X 認証の資格情報 : ユーザーの資格情報
PS C:\Windows\System32> netsh wlan show profile name=QiitaWiFi
インターフェイス Wi-Fi のプロファイル QiitaWiFi:
=======================================================================
適用先: すべてのユーザー プロファイル
プロファイル情報
-------------------
バージョン : 1
種類 : ワイヤレス LAN
名前 : QiitaWiFi
コントロール オプション :
接続モード : 自動接続
ネットワーク ブロードキャスト : このネットワークがブロードキャスト配信している場合に限り接続
AutoSwitch : 他のネットワークに切り替えません
MAC ランダム化 : 無効
接続の設定
---------------------
SSID の数 : 1
SSID 名 : "QiitaWiFi"
ネットワークの種類 : インフラストラクチャ
無線の種類 : [ 任意の無線の種類 ]
ベンダー拡張 : 存在しません
セキュリティの設定
-----------------
認証 : WPA2-エンタープライズ
暗号 : CCMP
認証 : WPA2-エンタープライズ
暗号 : GCMP
セキュリティ キー : なし
802.1X : 有効
EAP の種類 : Microsoft: スマート カードまたはその他の証明書
802.1X 認証の資格情報 : ユーザーの資格情報
資格情報の構成 : いいえ
ユーザー情報のキャッシュ : はい
コスト設定
-------------
コスト : 制限なし
混雑 : いいえ
データ制限間近 : いいえ
データ制限超過 : いいえ
ローミング : いいえ
コスト ソース : 既定
PEAP (EAP-TLS) の場合の結果
- EAP の種類 : Microsoft: 保護された EAP (PEAP)
- 802.1X 認証の資格情報 : ユーザーの資格情報
PS C:\Windows\System32> netsh wlan show profile name=QiitaWiFi
インターフェイス Wi-Fi のプロファイル QiitaWiFi:
=======================================================================
適用先: すべてのユーザー プロファイル
プロファイル情報
-------------------
バージョン : 1
種類 : ワイヤレス LAN
名前 : QiitaWiFi
コントロール オプション :
接続モード : 自動接続
ネットワーク ブロードキャスト : このネットワークがブロードキャスト配信している場合に限り接続
AutoSwitch : 他のネットワークに切り替えません
MAC ランダム化 : 無効
接続の設定
---------------------
SSID の数 : 1
SSID 名 : "QiitaWiFi"
ネットワークの種類 : インフラストラクチャ
無線の種類 : [ 任意の無線の種類 ]
ベンダー拡張 : 存在しません
セキュリティの設定
-----------------
認証 : WPA2-エンタープライズ
暗号 : CCMP
認証 : WPA2-エンタープライズ
暗号 : GCMP
セキュリティ キー : なし
802.1X : 有効
EAP の種類 : Microsoft: 保護された EAP (PEAP)
802.1X 認証の資格情報 : ユーザーの資格情報
資格情報の構成 : いいえ
ユーザー情報のキャッシュ : はい
コスト設定
-------------
コスト : 制限なし
混雑 : いいえ
データ制限間近 : いいえ
データ制限超過 : いいえ
ローミング : いいえ
コスト ソース : 既定