セキュリティ : Cisco Secure Access Control Server for Windows

EAP-TLS マシン認証が設定された Cisco Secure ACS for Windows v3.2

2004 年 3 月 29 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2009 年 4 月 28 日) | フィードバック

目次

概要
前提条件
     要件
     使用するコンポーネント
     背景理論
     表記法
     ネットワーク ダイアグラム
Cisco Secure ACS for Windows v3.2 の設定
     ACS サーバ用の証明書を取得する
     ストレージから証明書を使用するよう ACS を設定する
     ACS が信頼する必要がある追加の証明機関を指定する
     サービスを再起動し、ACS での EAP-TLS の設定を設定する
     アクセス ポイントを AAA クライアントとして指定および設定する
     外部ユーザ データベースを設定する
     サービスを再起動する
MS 証明書のマシン自動登録の設定
シスコ アクセス ポイントの設定
無線クライアントの設定
     ドメインに参加する
     ユーザ用の証明書を取得する
     無線ネットワークを設定する
確認
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

この文書では、Cisco Secure ACS for Windows バージョン 3.2 を使用して、Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)を設定する方法を説明します。

前提条件

要件

この文書に関する特別な前提条件はありません。

使用するコンポーネント

この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco Secure ACS for Windows バージョン 3.2

  • Microsoft Certificate Services(エンタプライズのルート証明機関 [CA] としてインストールされています。)

    注: 詳細については、「Step-by-Step Guide to Setting up a Certification Authorityleavingcisco.comを参照してください。

  • Service Pack 3 および hotfix 323172 leavingcisco.com を適用済みの Windows 2000 Server を使用した DNS サービス

    注: CA サーバの問題が発生した場合は、hotfix 323172 leavingcisco.com をインストールします。 IEEE 802.1x 認証を有効にするには、Windows 2000 SP3 クライアントには hotfix 313664 leavingcisco.com が必要です。

  • Cisco Aironet 1200 シリーズ Wireless Access Point 12.01T

  • Service Pack 1 を適用済みの Windows XP Professional を実行する IBM ThinkPad T30

この文書の情報は、特定のラボ環境にある装置に基づいて作成されています。 また、この文書で使用するデバイスは、すべて初期(デフォルト)の設定で起動しています。 実稼動中のネットワークで作業をしている場合、実際にコマンドを使用する前に、その潜在的な影響について理解しておく必要があります。

背景理論

EAP-TLS と Protected Extensible Authentication Protocol(PEAP)は両方とも、TLS/Secure Socket Layer(SSL; セキュア ソケット レイヤ)トンネルを構築し、使用します。 EAP-TLS では、ACS(Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング))サーバとクライアントの両方が証明書を用意し、相互に ID を証明する相互認証を使用します。 ただし、PEAP はサーバ側だけの認証を使用します。つまり、サーバのみが証明書を用意し、その ID をクライアントに証明します。

表記法

文書の表記法の詳細は、「シスコ テクニカル ティップスの表記法」を参照してください。

ネットワーク ダイアグラム

この文書では次の図に示すネットワーク設定を使用しています。

acs-eap-01.gif

Cisco Secure ACS for Windows v3.2 の設定

ACS 3.2 を設定するには、次のステップに従います。

  1. ACS サーバ用の証明書を取得する

  2. ストレージから証明書を使用するよう ACS を設定する

  3. ACS が信頼する追加の証明機関を指定する

  4. サービスを再起動し、ACS での EAP-TLS の設定を設定する

  5. アクセス ポイントを AAA クライアントとして指定および設定する

  6. 外部ユーザ データベースを設定する

  7. サービスを再起動する

ACS サーバ用の証明書を取得する

証明書を取得するには、次のステップに従います。

  1. ACS サーバで Web ブラウザを開き、アドレス バーに http://CA-ip-address/certsrv と入力して CA サーバを表示します。 Administrator としてドメインにログインします。

    acs-eap-02.gif

  2. Request a certificate を選択してから Next をクリックします。

    acs-eap-03.gif

  3. Advanced request を選択してから Next をクリックします。

    acs-eap-04.gif

  4. Submit a certificate request to this CA using a form を選択してから Next をクリックします。

    acs-eap-05.gif

  5. 証明書のオプションを設定します。

    1. 証明書のテンプレートとして Web Server を選択します。 ACS サーバの名前を入力します。

      acs-eap-06a.gif

    2. 鍵のサイズを 1024 に設定します。 Mark keys as exportableUse local machine store のオプションを選択します。 必要に応じてその他のオプションを設定し、Submit をクリックします。

      acs-eap-06b.gif

      注: (ブラウザのセキュリティ/プライバシー設定に応じて)スクリプト違反を通知する警告ウィンドウが表示された場合は、Yes をクリックして継続します。

      acs-eap-07.gif

  6. Install this certificate をクリックします。

    acs-eap-08.gif

    注: (ブラウザのセキュリティ/プライバシー設定に応じて)スクリプト違反を通知する警告ウィンドウが表示された場合は、Yes をクリックして継続します。

    acs-eap-09.gif

  7. インストールに成功した場合は、確認メッセージが表示されます。

    acs-eap-10.gif

ストレージから証明書を使用するよう ACS を設定する

ストレージにある証明書を使用するよう ACS を設定するには、次のステップに従います。

  1. Web ブラウザを開き、アドレス バーに http://ACS-ip-address:2002/ と入力して ACS サーバを表示します。 System Configuration をクリックしてから ACS Certificate Setup をクリックします。

  2. Install ACS Certificate をクリックします。

  3. Use certificate from storage を選択します。 Certificate CN フィールドに、「ACS サーバ用の証明書を取得する」のステップ 5a で割り当てた証明書の名前を入力します。 Submit をクリックします。

    acs-eap-11.gif

  4. 設定が完了すると、ACS サーバの設定が変更されたことを示す確認メッセージが表示されます。

    注: この時点では ACS を再起動する必要はありません。

    acs-eap-12.gif

ACS が信頼する追加の証明機関を指定する

ACS は、独自の証明書を発行した CA を自動的に信頼します。 クライアントの証明書が追加の CA により発行された場合は、次のステップを完了する必要があります。

  1. System Configuration をクリックしてから ACS Certificate Setup をクリックします。

  2. ACS Certificate Authority Setup をクリックして、信頼された証明書のリストに CA を追加します。 CA 証明書ファイル用のフィールドで、証明書の場所を入力してから Submit をクリックします。

    acs-eap-13.gif

  3. Edit Certificate Trust List をクリックします。 ACS が信頼するすべての CA をチェックし、ACS が信頼しないすべての CA のチェックを外します。 Submit をクリックします。

    acs-eap-14.gif

サービスを再起動し、ACS での EAP-TLS の設定を設定する

サービスを再起動し、EAP-TLS の設定を設定するには、次のステップに従います。

  1. System Configuration をクリックしてから Service Control をクリックします。

  2. Restart をクリックしてサービスを再起動します。

  3. EAP-TLS の設定を設定するには、System Configuration をクリックしてから Global Authentication Setup をクリックします。

  4. Allow EAP-TLS をチェックしてから、1 つ以上の証明書の比較をチェックします。 設定を終えたら Submit をクリックします。

    acs-eap-15.gif

アクセス ポイントを AAA クライアントとして指定および設定する

アクセス ポイント(AP)を AAA クライアントとして設定するには、次のステップに従います。

  1. Network Configuration をクリックします。 AAA Clients の下で Add Entry をクリックします。

    acs-eap-16.gif

  2. AAA Client Hostname フィールドにアクセス ポイントのホスト名を入力し、AAA Client IP Address フィールドにその IP アドレスを入力します。 Key フィールドに、ACS とアクセス ポイント用の共有秘密鍵を入力します。 認証方式として RADIUS (Cisco Aironet) を選択します。 設定を終えたら Submit をクリックします。

    acs-eap-17.gif

外部ユーザ データベースを設定する

外部ユーザ データベースを設定するには、次のステップに従います。

  1. External User Databases をクリックしてから Database Configuration をクリックします。 Windows Database をクリックします。

    注: Windows のデータベースがまだ定義されていない場合は、Create New Configuration をクリックしてから Submit をクリックします。

  2. Configure をクリックします。 Configure Domain List の下で、SEC-SYD ドメインを、Available Domains から Domain List へ移動させます。

    acs-eap-18.gif

  3. マシン認証を有効にするには、Windows EAP Settings でオプション Permit EAP-TLS machine authentication をチェックします。 マシン認証名のプレフィクスは変更しないでください。 Microsoft では現在、「/host」(デフォルト値)を使用して、ユーザ認証とマシン認証を区別しています。 必要であれば、EAP-TLS Strip Domain Name のオプションをチェックすることでドメインの削除を有効にできます。 設定を終えたら Submit をクリックします。

    acs-eap-19.gif

  4. External User Databases をクリックしてから Unknown User Policy をクリックします。 Check the following external user databases のオプションを選択してから、右矢印ボタン(->)を使用して、Windows データベースを External Databases から Selected Databases に移動させます。 設定を終えたら Submit をクリックします。

    acs-eap-19a.gif

サービスを再起動する

ACS の設定を完了したら、次のステップに従ってサービスを再起動します。

  1. System Configuration をクリックしてから Service Control をクリックします。

  2. Restart をクリックします。

MS 証明書のマシン自動登録の設定

自動でマシン証明書を登録するためのドメインを設定するには、次のステップに従います。

  1. Control Panel > Administrative Tools > Open Active Directory Users and Computers の順に選択します。

  2. domain sec-syd を右クリックし、サブメニューから Properties を選択します。

  3. Group Policy タブを選択します。 Default Domain Policy をクリックしてから Edit をクリックします。

  4. Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Automatic Certificate Request Settings の順に選択します。

    acs-eap-20.gif

  5. メニュー バーで Action > New > Automatic Certificate Request の順に選択し、Next をクリックします。

  6. Computer を選択し Next をクリックします。 証明機関をチェックします(この例では「Our TAC CA」)。 Next をクリックしてから Finish をクリックします。

シスコ アクセス ポイントの設定

AP を設定し、認証サーバとして ACS を使用するには、次のステップに従います。

  1. Web ブラウザを開き、アドレス バーに http://AP-ip-address/certsrv と入力して AP を表示します。 ツールバーで Setup をクリックします。

  2. Services で Security をクリックします。

  3. Authentication Server をクリックします。

    注: AP でアカウントを設定している場合は、ログインする必要があります。

  4. 認証者の設定を入力します。

    • 802.1x プロトコル バージョンの場合(EAP 認証の場合)は 802.1x-2001 を選択します。

    • Server Name/IP フィールドに ACS サーバの IP アドレスを入力します。

    • Server Type として RADIUS を選択します。

    • Port フィールドに 1645 または 1812 を入力します。

    • アクセス ポイントを AAA クライアントとして指定および設定するのステップ 2 で指定した共有秘密鍵を入力します。

    • EAP Authentication のオプションをチェックして、サーバをどのように使用する必要があるかを指定します。

    設定を終えたら OK をクリックします。

    acs-eap-21.gif

  5. Radio Data Encryption (WEP) をクリックします。

  6. 内部データ暗号化設定を入力します。

    • Full Encryption を選択してデータ暗号化のレベルを設定します。

    • 受け入れる認証の種類を設定するには Open のオプションを選択します。LEAP を有効にするには、Network-EAP のオプションを選択します。

    • Require EAP 設定に関しては Open のオプションをチェックします。

    • 暗号化鍵を入力し、鍵のサイズを 128 bit に設定します。

    設定を終えたら OK をクリックします。

    acs-eap-22.gif

  7. Network > Service Sets > Select the SSID Idx の順に選択して、正しい Service Set Identifier(SSID)を使用していること確認し、確認を終えたら OK をクリックします。

    acs-eap-22a.gif

無線クライアントの設定

ACS 3.2 を設定するには、次のステップに従います。

  1. ドメインに参加する

  2. ユーザ用の証明書を取得する

  3. 無線ネットワークを設定する

ドメインに参加する

無線クライアントをドメインに追加するには、次のステップに従います。

注: 次のステップを完了するには、無線クライアントには、有線接続を介した CA への接続性、または 802.1x セキュリティを無効にした無線接続を介した CA への接続性が必要です。

  1. ローカル管理者として Windows XP にログインします。

  2. Control Panel > Performance and Maintenance > System の順に選択します。

  3. Computer Name タブを選択してから Change をクリックします。 コンピュータ名のフィールドにホスト名を入力します。 Domain を選択してからドメインの名前(この例では「SEC-SYD」)を入力します。OK をクリックします。

    acs-eap-23.gif

  4. ログイン ダイアログが表示されたら、ドメインに参加するアクセス権を持つアカウントを使用してログインすることで、ドメインに参加します。

  5. コンピュータがドメインへの参加に成功したら、コンピュータを再起動します。 マシンはそのドメインのメンバになります。マシンの自動登録を設定しているため、マシンには導入済の CA の証明書だけでなく、マシン認証用の証明書もインストールされます。

ユーザ用の証明書を取得する

ユーザ用の証明書を取得するには、次のステップに従います。

  1. 証明書を必要とするアカウントとして、無線クライアント(ラップトップ)上で Windows XP とドメイン(SEC-SYD)にログインします。 Web ブラウザを開き、アドレス バーに http://CA-ip-address/certsrv と入力して CA サーバを表示します。 同じアカウントで CA サイトにログインします。

    注: 証明書は現在のユーザのプロファイルの下で無線クライアントに格納されるため、同じアカウントを使用して Windows と CA にログインする必要があります。

    acs-eap-24.gif

  2. Request a certificate を選択してから Next をクリックします。

    acs-eap-03.gif

  3. Advanced request を選択してから Next をクリックします。

    acs-eap-04.gif

  4. Submit a certificate request to this CA using a form を選択してから Next をクリックします。

    acs-eap-05.gif

  5. 証明書のテンプレートとして User を選択し、鍵のサイズを 1024 に設定します。 必要に応じてその他のオプションを設定し、Submit をクリックします。

    acs-eap-25.gif

    注: (ブラウザのセキュリティ/プライバシー設定に応じて)スクリプト違反を通知する警告ウィンドウが表示された場合は、Yes をクリックして継続します。

    acs-eap-07.gif

  6. Install this certificate をクリックします。

    acs-eap-08.gif

    注: (ブラウザのセキュリティ/プライバシー設定に応じて)スクリプト違反を通知する警告ウィンドウが表示された場合は、Yes をクリックして継続します。

    acs-eap-09.gif

  7. CA の独自の証明書がまだ無線クライアントに保存されていない場合は、次に示すウィンドウに似たウィンドウが表示される場合があります。 Yes をクリックして、証明書をローカル ストレージに保存します。

    acs-eap-26.gif

  8. インストールが成功した場合は、確認メッセージが表示されます。

    acs-eap-10.gif

無線ネットワークを設定する

無線ネットワークのオプションを設定するには、次のステップに従います。

  1. ドメイン ユーザとしてドメインにログインします。

  2. Control Panel > Network and Internet Connections > Network Connections の順に選択します。 Wireless Connection を右クリックし、表示されるサブメニューから Properties を選択します。

  3. Wireless Networks タブを選択します。 使用可能なネットワークのリストから、(AP の SSID 名を使用して表示される)無線ネットワークを選択し、Configure をクリックします。

    acs-eap-23.gif

  4. ネットワークのプロパティのウィンドウの Authentication タブで、Enable IEEE 802.1x authentication for this network のオプションをチェックします。 EAP のタイプに関しては、EAP type の Smart Card or other Certificate を選択してから Properties をクリックします。

    注: マシン認証を有効にするには、Authenticate as computer when computer information is available のオプションをチェックします。

    acs-eap-27.gif

  5. Use a certificate on this computer を選択してから Use simple certificate selection をチェックします。 Validate server certificate をチェックします。 設定を終えたら OK をクリックします。

    注: クライアントがドメインに参加した時点では、CA の証明書は自動的に信頼されたルート証明機関として、すでにインストールされています。 クライアントは自動的かつ暗黙的に、クライアントの証明書に署名した CA を信頼します。 追加の CA が信頼されるには、Trusted Root Certification Authorities リストで CA をチェックします。

    acs-eap-28.gif

  6. ネットワークのプロパティのウィンドウの Association タブで、Data encryption (WEP enabled) および The key is provided for me automatically のオプションをチェックします。 OK をクリックしてから再度 OK をクリックして、ネットワーク設定のウィンドウを閉じます。

    acs-eap-29.gif

確認

このセクションでは、設定が適切に機能していることの確認に利用できる情報を提供します。

  • 無線クライアントが認証されていることを確認するには、無線クライアント上で Control Panel > Network and Internet Connections > Network Connections の順に選択します。 メニュー バーで View > Tiles の順に選択します。 無線接続では、「Authentication succeeded」というメッセージが表示されるはずです。

  • 無線クライアントが認証されていることを確認するには、ACS の Web インターフェイスで Reports and Activity > Passed Authentications > Passed Authentications active.csv の順に選択します。

トラブルシューティング

この項では、設定のトラブルシューティングに役立つ情報を説明します。

  • Service Pack 3 を適用した Windows 2000 Advanced Server 上で、MS Certificate Services がエンタプライズのルート証明機関としてインストールされていることを確認します。

  • Windows 2000(Service Pack 3)とともに Cisco Secure ACS for Windows バージョン 3.2 を使用していること確認します。

  • 無線クライアント上でマシン認証が失敗する場合は、無線接続でネットワーク接続が存在しません。 プロファイルが無線クライアント上にキャッシュされているアカウントだけが、ドメインにログインできます。 マシンを有線ネットワークにつなげるか、802.1x セキュリティのない無線接続用に設定する必要があります。

  • ドメインに参加する際に CA への自動登録が失敗する場合は、Event Viewer を確認して考えられる理由を調べます。

  • 無線クライアントのユーザ プロファイルに有効な証明書がない場合も、パスワードが正しければマシンとドメインにログオンできますが、無線接続には接続性がないことに注意してください。

  • 無線クライアント上の ACS の証明書が無効である(証明書の有効な「from」および「to」の日付、クライアントの日付と時刻の設定、および CA の信頼性に依存)場合、クライアントはその証明書を拒否し、認証が失敗します。 ACS は、Web インターフェイスの Reports and Activity > Failed Attempts > Failed Attempts XXX.csv に、「EAP-TLS or PEAP authentication failed during SSL handshake」に似た認証失敗コードを使用して、失敗した認証を記録します。 CSAuth.log ファイルの予想されるエラー メッセージは、次のようになります。

    AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
       other side probably didn't accept our certificate
  • ACS 上のクライアントの証明書が無効である(証明書の有効な「from」および「to」の日付、サーバの日付と時刻の設定、および CA の信頼性に依存)場合、サーバはその証明書を拒否し、認証が失敗します。 ACS は、Web インターフェイスの Reports and Activity > Failed Attempts > Failed Attempts XXX.csv に、「EAP-TLS or PEAP authentication failed during SSL handshake」に似た認証失敗コードを使用して、失敗した認証を記録します。 ACS が CA を信頼しないために ACS がクライアントの証明書を拒絶する場合、CSAuth.log ファイルでの予想されるエラー メッセージは次のようになります。

    AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse:
       SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate)

    証明書が期限切れになったため ACS がクライアントの証明書を拒絶する場合、CSAuth.log ファイルの予想されるエラー メッセージは次のようになります。

    AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse:
       SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)
  • ACS の Web インターフェイスのログでは、Reports and Activity > Passed Authentications > Passed Authentications XXX.csv および Reports and Activity > Failed Attempts > Failed Attempts XXX.csv の両方に、EAP-TLS 認証は <user-id>@<domain> の形式で表示されます。 PEAP 認証は、<DOMAIN>\<user-id> の形式で表示されます。

  • 次のステップに従うことで、ACS サーバの証明書と信頼性を確認できます。

    1. Administrator の特権を持つアカウントを使用して、ACS サーバで Windows にログインします。 Start > Run と選択し、mmc と入力し、OK をクリックして、Microsoft Management Console を開きます。

    2. メニュー バーで Console > Add/Remove Snap-in の順に選択し、Add をクリックします。

    3. Certificates を選択し、Add をクリックします。

    4. Computer account を選択し、Next をクリックしてから Local computer (the computer this console is running on) を選択します。

    5. FinishCloseOK の順にクリックします。

    6. ACS サーバに有効なサーバ側の証明書があることを確認するには、Console Root > Certificates (Local Computer) > Personal > Certificates の順に選択します。 ACS サーバ用の証明書があることを確認します(この例の名前は「OurACS」)。 証明書を開き、次の項目を確認します。

      • すべての使用目的に関して検証されていない証明書に関する警告が存在しない。

      • 信頼されていない証明書に関する警告が存在しない。

      • 「This certificate is intended to - Ensures the identity of a remote computer.」というメッセージが存在する。

      • 証明書は期限切れになっておらず、また有効になっている(有効な「from」および「to」の日付を確認)。

      • 「You have a private key that corresponds to this certificate.」というメッセージが存在する。

    7. Details タブで、Version フィールドの値が V3 で、Enhanced Key Usage フィールドは Server Authentication (1.3.6.1.5.5.7.3.1) となっていること確認します。

    8. ACS サーバが CA サーバを信頼していることを確認するには、Console Root > Certificates (Local Computer) > Trusted Root Certification Authorities > Certificates の順に選択します。 CA サーバ用の証明書があることを確認します(この例の名前は「Our TAC CA」)。 証明書を開き、次の項目を確認します。

      • すべての使用目的に関して検証されていない証明書に関する警告が存在しない。

      • 信頼されていない証明書に関する警告が存在しない。

      • 証明書の使用目的が正しい。

      • 証明書は期限切れになっておらず、また有効になっている(有効な「from」および「to」の日付を確認)。

      ACS とクライアントが同じルート CA を使用していなかった場合は、CA サーバの証明書連鎖が完全にインストールされていることを確認します。 証明書が下位証明機関から取得された場合も、同じことが当てはまります。

  • 次のステップに従うことで、無線クライアントのマシン証明書と信頼性を確認できます。

    1. Administrator の特権を持つアカウントを使用して、ACS サーバで Windows にログインします。 Start > Run と選択し、mmc と入力し、OK をクリックして、Microsoft Management Console を開きます。

    2. メニュー バーで Console > Add/Remove Snap-in の順に選択し、Add をクリックします。

    3. Certificates を選択し、Add をクリックします。

    4. Computer account を選択し、Next をクリックしてから Local computer (the computer this console is running on) を選択します。

    5. FinishCloseOK の順にクリックします。

    6. マシンが有効なクライアント側の証明書を持っていることを確認します。 証明書が無効である場合は、マシン認証は失敗します。 証明書を確認するには、Console Root > Certificates (Local Computer) > Personal > Certificates の順に選択します。 マシン用の証明書が存在することを確認します。名前は <host-name>.<domain> の形式です。 証明書を開き、次の項目を確認します。

      • すべての使用目的に関して検証されていない証明書に関する警告が存在しない。

      • 信頼されていない証明書に関する警告が存在しない。

      • 「This certificate is intended to - Proves your identity to a remote computer.」というメッセージが存在する。

      • 証明書は期限切れになっておらず、また有効になっている(有効な「from」および「to」の日付を確認)。

      • 「You have a private key that corresponds to this certificate.」というメッセージが存在する。

  • Details タブで、Version フィールドの値が V3 で、Enhanced Key Usage フィールドには少なくとも値 Client Authentication (1.3.6.1.5.5.7.3.2) が含まれていること確認します。追加の目的が表示されている場合もあります。 Subject フィールドに値 CN = <host-name>.<domain> が含まれていることを確認します。追加の値が表示されている場合もあります。 ホスト名とドメインが、証明書で指定されているものと一致することを確認します。

  • クライアントのプロファイルが CA サーバを信頼していることを確認するには、Console Root > Certificates (Current User) > Trusted Root Certification Authorities > Certificates の順に選択します。 CA サーバ用の証明書があることを確認します(この例の名前は「Our TAC CA」)。 証明書を開き、次の項目を確認します。

    • すべての使用目的に関して検証されていない証明書に関する警告が存在しない。

    • 信頼されていない証明書に関する警告が存在しない。

    • 証明書の使用目的が正しい。

    • 証明書は期限切れになっておらず、また有効になっている(有効な「from」および「to」の日付を確認)。

    ACS とクライアントが同じルート CA を使用していなかった場合は、CA サーバの証明書連鎖が完全にインストールされていることを確認します。 証明書が下位証明機関から取得された場合も、同じことが当てはまります。

  • Cisco Secure ACS for Windows v3.2 の設定の項で説明されている ACS の設定を確認します。

  • MS 証明書のマシン自動登録の設定の項で説明されている CA の設定を確認します。

  • シスコ アクセス ポイントの設定の項で説明されている AP の設定を確認します。

  • 無線クライアントの設定の項で説明されている無線クライアントの設定を確認します。

  • AAA サーバの内部データベース、または設定済みの外部データベースの 1 つに、ユーザ アカウントが存在することを確認します。 そのアカウントが無効になっていないことを確認します。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 43722