EAP-TLS、または EAP-TLS と PEAP を組み合わせて使用する場合の証明書の必要条件


はじめに


この資料では、Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) または EAP-TLS と Protected Extensible Authentication Protocol (PEAP) を組み合わせて使用する場合に、クライアント証明書とサーバー証明書が満たす必要がある条件について説明します。

詳細情報


スマート カードを使用した TLS や証明書を使用した TLS などの強力な EAP の種類を使用した EAP 認証方式を使用する場合、クライアントとサーバーの両方が証明書を使用してお互いの識別情報を確認します。 認証が成功するには、証明書がサーバーとクライアントの双方で特定の必要条件を満たす必要があります。



1 つの必要条件として、証明書を設定する際に、拡張キー使用法 (EKU) 拡張機能内の、証明書の用途に一致する 1 つまたは複数の目的を使用する必要があります。 たとえば、サーバーがクライアントの認証に使用する証明書は、クライアント認証目的を使用して設定する必要があります。 また、サーバーの認証に使用する証明書は、サーバー認証目的を使用して設定する必要があります。 証明書を使用して認証を行う場合、認証システムによりクライアント証明書が確認され、EKU 拡張機能内の正しい目的オブジェクト識別子が検索されます。 たとえば、クライアント認証目的のオブジェクト識別子は 1.3.6.1.5.5.7.3.2 です。

証明書の最小要件

ネットワーク アクセス認証に使用されるすべての証明書は、X.509 証明書の必要条件を満たしたうえ、SSL (Secure Sockets Layer) 暗号化と TLS (Transport Level Security) 暗号化を使用する接続の必要条件も満たす必要があります。 これらの最小要件を満たすことに加え、クライアント証明書とサーバー証明書は、次の必要条件を満たす必要があります。

クライアント証明書の必要条件

EAP-TLS、または EAP-TLS と PEAP の組み合わせのどちらであっても、証明書が次の必要条件を満たせば、サーバーはクライアントの認証を受け入れます。

  • クライアント証明書はエンタープライズ証明機関 (CA) によって発行されるか、Active Directory ディレクトリ サービスのユーザー アカウントまたはコンピュータ アカウントにマッピングされています。
  • クライアントのユーザー証明書またはコンピュータ証明書が、信頼されたルート CA にチェーンされています。
  • クライアントのユーザー証明書またはコンピュータ証明書に、クライアント認証目的が含まれています。
  • ユーザー証明書またはコンピュータ証明書が、CryptoAPI 証明書ストアが実行するすべてのチェックに合格し、リモート アクセス ポリシーの必要条件を満たしています。
  • ユーザー証明書またはコンピュータ証明書が、インターネット認証サービス (IAS) のリモート アクセス ポリシーに指定されている証明書オブジェクト識別子チェックのすべてに合格しています。
  • 802.1x クライアントが、スマートカード証明書またはパスワードで保護された証明書であるレジストリベースの証明書を使用していません。
  • 証明書のサブジェクトの別名 (SubjectAltName) 拡張機能に、ユーザーのユーザー プリンシパル名 (UPN) が含まれています。

  • クライアントが EAP-TLS、または EAP-TLS と PEAP を組み合わせた認証を使用している場合、次の例外を除き、インストールされているすべての証明書の一覧が証明書スナップインに表示されます。
    • ワイヤレス クライアントでは、レジストリベースの証明書とスマート カード ログオン証明書は表示されません。
    • ワイヤレス クライアントと仮想プライベート ネットワーク (VPN) クライアントでは、パスワードで保護された証明書は表示されません。
    • EKU 拡張機能にクライアント認証目的が含まれていない証明書は表示されません。

サーバー証明書の必要条件

クライアントがサーバー証明書を検証するように設定するには、ネットワーク接続のプロパティの [認証] タブの [サーバーの証明書の有効化] オプションを使用します。 クライアントが PEAP-EAP-MS チャレンジ ハンドシェイク認証プロトコル (CHAP) v2 認証、EAP-TLS と PEAP を組み合わせた認証、または EAP-TLS 認証を使用している場合、証明書が次の必要条件を満たしていれば、クライアントはサーバーの証明書を受け入れます。

  • サーバーのコンピュータ証明書が次のいずれかにチェーンしています。
    • 信頼された Microsoft ルート CA
    • 発行済みのルート証明書を含む NTAuthCertificates ストアを持つ、Active Directory ドメイン内の Microsoft スタンドアロンのルート CA またはサードパーティのルート CA。サードパーティの CA 証明書をインポートする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

      295663 [HOW TO] サードパーティの証明書を NTAuth ストアにインポートする方法

  • IAS サーバーまたは VPN サーバーのコンピュータ証明書が、サーバー認証目的を使用して設定されています。 サーバー認証用のオブジェクトの識別子は 1.3.6.1.5.5.7.3.1 です。
  • コンピュータ証明書が、CryptoAPI 証明書ストアが実行するすべてのチェックに合格し、リモート アクセス ポリシーのすべての必要条件を満たしています。
  • サーバー証明書のサブジェクト行にある名前が、クライアント上で接続用に設定された名前と一致しています。
  • ワイヤレス クライアントの場合、サブジェクトの別名 (SubjectAltName) 拡張機能に、サーバーの完全修飾ドメイン名 (FQDN) が含まれています。
  • クライアントが特定の名前の付いたサーバー証明書を信頼するように設定されている場合、別の名前の付いたサーバー証明書については、その証明書を信頼するかどうかを確認するメッセージが表示されます。 ユーザーが証明書を拒否すると、認証は失敗します。 証明書を受け入れると、証明書はローカル コンピュータの信頼されたルート証明書ストアに追加されます。

注: PEAP 認証または EAP-TLS 認証を使用する場合、サーバーでは、インストールされているすべての証明書の一覧が証明書スナップインに表示されます。ただし、EKU 拡張機能にサーバー認証目的が含まれている証明書は表示されません。

関連情報


ワイヤレス ネットワーク テクノロジの詳細については、次のマイクロソフトの Web サイトを参照してください。 詳細については、以下のサポート技術情報番号をクリックしてください。

313242 Windows XP におけるワイヤレス ネットワーク接続のトラブルシューティング