Windows XP SP1 および Windows Server 2003 に追加された、保護された EAP (PEAP) サポート

概要

RFC 2284 で、複数の認証方式のサポートを提供する拡張認証プロトコル (EAP) が定義されています。EAP は、もともと PPP (Point-to-Point Protocol) で使用するために作成されましたが、IEEE 802.1x Network Port Authentication で使用する目的でも採用されています。


EAP が広く使用されるようになってから、EAP の問題が多数判明しています。EAP には、次のような問題があります。
  • ユーザー ID や EAP ネゴシエーションをセキュリティで保護できない。
  • キー交換の標準の機構がない。
  • 断片化と再構築の組み込みサポートがない。
  • 迅速な再接続がサポートされていない。
保護された EAP (PEAP) では、EAP プロトコルを TLS (Transport Layer Security) でラップすることにより、これらの弱点に対処しています。EAP が PEAP で実行されている場合は、キー交換、セッションの再開、および断片化と再構築の組み込みサポートが提供されます。

詳細

Windows XP Service Pack 1 (SP1) には、EAP および IEEE 802.1x の拡張サポートの一環として、MS-CHAP v2 を使用した PEAP (Protected EAP) が用意されています。これにより、Windows XP のワイヤレス クライアントで、MS-CHAP v2 を使用した PEAP を使用して、証明書の代わりにパスワードで保護されたワイヤレス アクセスを利用できるようになります。


Windows Server 2003 で提供されているインターネット認証サービス (IAS) ネットワーク コンポーネントも、MS-CHAP v2 を使用した PEAP をサポートしており、IAS サーバーで Windows XP SP1 を実行しているワイヤレス クライアントを認証できます。PEAP サポートのある IEEE 802.1x 認証は、Windows 2000 クライアントと IAS コンポーネントでも使用できます。
PEAP をサポートする IEEE 802.1x. を Windows 2000 クライアントと IAS サーバーに追加する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
313664
Windows 2000 を実行しているコンピュータ上で 802.1x 認証を使用する
詳細については、313664 を参照してください。MS-CHAP v2 を使用する PEAP では、IAS サーバーに証明書が必要ですが、ワイヤレス クライアントには証明書は必要ありません。IAS サーバーに、ローカル コンピュータの証明書ストアがインストールされている必要があります。公開キー基盤 (PKI) を展開する代わりに、サードパーティの証明機関 (CA) から個別の証明書を購入して、IAS サーバーにインストールします。ワイヤレス クライアントが確実に IAS サーバーの証明書チェーンを検証できるようにするには、各ワイヤレス クライアントに、IAS サーバーの証明書の発行元 CA のルート CA 証明書がインストールされている必要があります。


Windows XP には、多数のサードパーティ CA のルート CA 証明書が付属しています。Windows XP に付属のルート CA 証明書に対応するサードパーティ CA から IAS サーバーの証明書を購入した場合は、ワイヤレス クライアントを新たに構成する必要はありません。PEAP 互換の証明書を Verisign から取得する方法の詳細については、以下の Verisign Web サイトを参照してください。
Windows XP に付属のルート CA 証明書に対応するサードパーティ CA 以外から IAS サーバーの証明書を購入した場合は、各ワイヤレス クライアントにルート CA 証明書をインストールする必要があります。
プロパティ

文書番号:325725 - 最終更新日: 2008/02/20 - リビジョン: 1

フィードバック