EAP-TLS、または EAP-TLS と PEAP を組み合わせて使用する場合の証明書の必要条件

文書番号: 814394 - 対象製品
すべて展開する | すべて折りたたむ

目次

はじめに

この資料では、Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) または EAP-TLS と Protected Extensible Authentication Protocol (PEAP) を組み合わせて使用する場合に、クライアント証明書とサーバー証明書が満たす必要がある条件について説明します。
先頭へ戻る | フィードバック

詳細

スマート カードを使用した TLS や証明書を使用した TLS などの強力な EAP の種類を使用した EAP 認証方式を使用する場合、クライアントとサーバーの両方が証明書を使用してお互いの識別情報を確認します。認証が成功するには、証明書がサーバーとクライアントの双方で特定の必要条件を満たす必要があります。

1 つの必要条件として、証明書を設定する際に、拡張キー使用法 (EKU) 拡張機能内の、証明書の用途に一致する 1 つまたは複数の目的を使用する必要があります。たとえば、サーバーがクライアントの認証に使用する証明書は、クライアント認証目的を使用して設定する必要があります。また、サーバーの認証に使用する証明書は、サーバー認証目的を使用して設定する必要があります。証明書を使用して認証を行う場合、認証システムによりクライアント証明書が確認され、EKU 拡張機能内の正しい目的オブジェクト識別子が検索されます。たとえば、クライアント認証目的のオブジェクト識別子は 1.3.6.1.5.5.7.3.2 です。

証明書の最小要件

ネットワーク アクセス認証に使用されるすべての証明書は、X.509 証明書の必要条件を満たしたうえ、SSL (Secure Sockets Layer) 暗号化と TLS (Transport Level Security) 暗号化を使用する接続の必要条件も満たす必要があります。これらの最小要件を満たすことに加え、クライアント証明書とサーバー証明書は、次の必要条件を満たす必要があります。

クライアント証明書の必要条件

EAP-TLS、または EAP-TLS と PEAP の組み合わせのどちらであっても、証明書が次の必要条件を満たせば、サーバーはクライアントの認証を受け入れます。
  • クライアント証明書はエンタープライズ証明機関 (CA) によって発行されるか、Active Directory ディレクトリ サービスのユーザー アカウントまたはコンピュータ アカウントにマッピングされています。
  • クライアントのユーザー証明書またはコンピュータ証明書が、信頼されたルート CA にチェーンされています。
  • クライアントのユーザー証明書またはコンピュータ証明書に、クライアント認証目的が含まれています。
  • ユーザー証明書またはコンピュータ証明書が、CryptoAPI 証明書ストアが実行するすべてのチェックに合格し、リモート アクセス ポリシーの必要条件を満たしています。
  • ユーザー証明書またはコンピュータ証明書が、インターネット認証サービス (IAS) のリモート アクセス ポリシーに指定されている証明書オブジェクト識別子チェックのすべてに合格しています。
  • 802.1x クライアントが、スマートカード証明書またはパスワードで保護された証明書であるレジストリベースの証明書を使用していません。
  • 証明書のサブジェクトの別名 (SubjectAltName) 拡張機能に、ユーザーのユーザー プリンシパル名 (UPN) が含まれています。
  • クライアントが EAP-TLS、または EAP-TLS と PEAP を組み合わせた認証を使用している場合、次の例外を除き、インストールされているすべての証明書の一覧が証明書スナップインに表示されます。
    • ワイヤレス クライアントでは、レジストリベースの証明書とスマート カード ログオン証明書は表示されません。
    • ワイヤレス クライアントと仮想プライベート ネットワーク (VPN) クライアントでは、パスワードで保護された証明書は表示されません。
    • EKU 拡張機能にクライアント認証目的が含まれていない証明書は表示されません。

サーバー証明書の必要条件

クライアントがサーバー証明書を検証するように設定するには、ネットワーク接続のプロパティの [認証] タブの [サーバーの証明書の有効化] オプションを使用します。クライアントが PEAP-EAP-MS チャレンジ ハンドシェイク認証プロトコル (CHAP) v2 認証、EAP-TLS と PEAP を組み合わせた認証、または EAP-TLS 認証を使用している場合、証明書が次の必要条件を満たしていれば、クライアントはサーバーの証明書を受け入れます。
  • サーバーのコンピュータ証明書が次のいずれかにチェーンしています。
    • 信頼された Microsoft ルート CA
    • 発行済みのルート証明書を含む NTAuthCertificates ストアを持つ、Active Directory ドメイン内の Microsoft スタンドアロンのルート CA またはサードパーティのルート CA サードパーティの CA 証明書をインポートする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
      295663
      (http://support.microsoft.com/kb/295663/ )
      [HOW TO] サードパーティの証明書を NTAuth ストアにインポートする方法
  • IAS サーバーまたは VPN サーバーのコンピュータ証明書が、サーバー認証目的を使用して設定されています。サーバー認証のオブジェクト識別子は 1.3.6.1.5.5.7.3.1 です。
  • コンピュータ証明書が、CryptoAPI 証明書ストアが実行するすべてのチェックに合格し、リモート アクセス ポリシーのすべての必要条件を満たしています。
  • サーバー証明書のサブジェクト行にある名前が、クライアント上で接続用に設定された名前と一致しています。
  • ワイヤレス クライアントの場合、サブジェクトの別名 (SubjectAltName) 拡張機能に、サーバーの完全修飾ドメイン名 (FQDN) が含まれています。
  • クライアントが特定の名前の付いたサーバー証明書を信頼するように設定されている場合、別の名前の付いたサーバー証明書については、その証明書を信頼するかどうかを確認するメッセージが表示されます。ユーザーが証明書を拒否すると、認証は失敗します。証明書を受け入れると、証明書はローカル コンピュータの信頼されたルート証明書ストアに追加されます。
: PEAP 認証または EAP-TLS 認証を使用する場合、サーバーでは、インストールされているすべての証明書の一覧が証明書スナップインに表示されます。ただし、EKU 拡張機能にサーバー認証目的が含まれている証明書は表示されません。
先頭へ戻る | フィードバック

関連情報

ワイヤレス ネットワーク テクノロジの詳細については、次のマイクロソフトの Web サイトを参照してください。
http://www.microsoft.com/japan/whdc/device/network/wireless/default.mspx
(http://www.microsoft.com/japan/whdc/device/network/wireless/default.mspx)
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
313242
(http://support.microsoft.com/kb/313242/ )
Windows XP におけるワイヤレス ネットワーク接続のトラブルシューティング
先頭へ戻る | フィードバック

プロパティ

文書番号: 814394 - 最終更新日: 2006年8月22日 - リビジョン: 3.2
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
キーワード:?
kbinfo kbactivedirectory kbwinservds KB814394
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る