セキュリティ : Cisco Secure Access Control Server for Windows

EAP-TLS バージョン 1.01 設定ガイド

2010 年 12 月 10 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 9 月 13 日) | 英語版 (2009 年 10 月 14 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定
      Microsoft Certificate(CA)Server のインストール
      サーバ証明書の作成
      新しい証明書テンプレートの作成
      CA からの証明書の承認
Windows Server での証明書のインストール
      ACS サーバへのサーバ証明書のダウンロード
      ACS サーバへの CA 証明書のインストール
      サーバ証明書を使用するための ACS のセットアップ
      証明書署名要求の生成
      CSR を使用したサーバ証明書の作成
Windows アプライアンスでの証明書のインストール
      FTP サーバへの CA 証明書のダウンロード
      アプライアンスでの CA 証明書のインストール
      アプライアンスでのサーバ証明書のインストール
その他のタスク
      グローバル認証の設定
      ACS での AP の設定
      AP の設定
      クライアント用ルート CA 証明書のダウンロードとインストール
      クライアント証明書の作成
      CA からのクライアント証明書の承認
      クライアント PC でのクライアント証明書のインストール
      ACS でのクライアント証明書の信頼
      EAP-TLS 用クライアントのセットアップ
マシン認証に関する補足説明
      マシン認証を許可するための ACS のセットアップ
      証明書自動登録のためのドメインの設定
      マシン認証のためのクライアントのセットアップ
WPA キー管理に関する補足説明
      AP の設定
      EAP-TLS および WPA 用 XP クライアントのセットアップ
確認
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)バージョン 1.01 の設定例について説明します。

注:このドキュメントでは、ユーザが Microsoft の Certificate Authority(CA; 認証局)を使用しているという前提で説明が進められます。自己署名証明書を使用することもできますが、シスコではその方法は推奨していません。そのため、このドキュメントでは、自己署名証明書については説明しません。自己署名証明書の有効期限はわずか 1 年であり、しかもその設定を変更できません。自己署名証明書はサーバ証明書として広く利用されています。ただし、一方でそれはルート CA 証明書としても利用されます。そのため、「サーバ証明書の検証」オプションをオフにしない限り、毎年すべてのクライアントに新しい証明書をインストールする必要があります。クライアント証明書を取得するには、いずれにしても本物の CA を利用しなければなりません。したがって、EAP-TLS で自己署名証明書を使用する正当な理由は存在しません。



前提条件

要件

このドキュメントに関する特別な要件はありません。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • アクセス ポイント(AP)12.02T1

  • Access Control Server(ACS)3.1、3.2、および 3.3

  • Windows 2000 および XP

  • エンタープライズ ルート Certificate Authority(CA; 認証局)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



設定

このセクションでは、このドキュメントで説明する機能の設定に必要な情報を提供します。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。



Microsoft Certificate(CA)Server のインストール

次の手順を実行します。

  1. [Start] > [Settings] > [Control Panel] を選択します。

  2. [Control Panel] で [Add/Remove Programs] をクリックします。

  3. [Add/Remove Windows Components] を選択します。

  4. [Certificate Services] を選択します。

  5. [Next] をクリックします。

  6. IIS のメッセージに対して [Yes] をクリックします。

  7. スタンドアロン(またはエンタープライズ)ルート CA を選択します。

  8. [Next] をクリックします。

  9. CA の名前を設定します。

    注:他のボックスはすべてオプションです。

    注:PEAP クライアントが認証に失敗する原因になる可能性があるため、ACS サーバと同じ名前を CA に使用しないでください。サーバ証明書と同じ名前をルート CA 証明書に指定すると、PEAP クライアントで混乱が生じます。この問題は Cisco クライアントに固有のものではありません。PEAP を使用しない場合には、このような問題は発生しません。

  10. [Next] をクリックします。

    データベースのデフォルトが正しいことを確認します。

  11. [Next] をクリックします。

    CA をインストールする前に、IIS をインストールする必要があります。



サーバ証明書の作成

次の手順を実行します。

  1. ACS サーバから、CA(http://IP_of_CA_server/certsrv/)を表示します。

  2. [Request a certificate] ボックスにチェックマークを付けます。

  3. [Next] をクリックします。

  4. [Advanced request] を選択します。

  5. [Next] をクリックします。

  6. [Submit a certificate request to this CA using a form] を選択します。

  7. [Next] をクリックします。

  8. 名前(CN)ボックスに名前を入力します。

  9. [Intended Purpose] で [Server Authentication Certificate] ボックスにチェックを入れます。

    注:エンタープライズ CA を使用する場合は、最初のリストから [Web Server] を選択します。

  10. [Key Option] で次のオプションを選択して、新しいテンプレートを作成します。

    • CSP:Microsoft Base Cryptographic Provider v1.0

    • Key Size:1024

      注:1024 より大きいキー サイズで作成した証明書は、HTTPS では使用できる場合があっても、PEAP では使用できません。

      注:Windows 2003 エンタープライズ CA では 1024 より大きいキー サイズが許容されていますが、PEAP では 1024 より大きいキーは機能しません。ACS での認証は通過するように見えますが、クライアントでは認証を試みるとハングします。

    • [Mark Keys as Exportable] オプションにチェックを入れます。

      注:Microsoft は、Windows 2003 エンタープライズ CA のリリースで Web サーバ テンプレートを変更しています。このテンプレート変更により、キーはエクスポート可能ではなくなり、このオプションはグレー表示になっています。証明書サービスでは、サーバ認証用の他の証明書テンプレート、またはキーをエクスポート可能としてマークできる他の証明書テンプレートは提供されていません。エクスポート可能な新しいテンプレートの作成については、「新しい証明書テンプレートの作成」セクションを参照してください。

    • [Use Local Machine Store] オプションにチェックを入れます。

    注:これ以外のオプションについてはデフォルトの設定のままにしておきます。

  11. [Submit] をクリックします。

    Your certificate request has been received」というメッセージが表示されます。



新しい証明書テンプレートの作成

次の手順を実行します。

  1. [Start] > [Run] を選択します。

  2. [Run] ダイアログボックスに certtmpl.msc と入力して、ENTER を押します。

  3. [Web Server template] を右クリックして、[Duplicate Template] を選択します。

  4. 「ACS」など、テンプレートに名前を付けます。

  5. [Request Handling] タブを選択します。

  6. [Allow private key to be exported] オプションにチェックを入れます。

  7. [CSPs] ボタンを選択します。

  8. [Microsoft Base Cryptographic Provider v1.0] オプションにチェックを入れます。

  9. [OK] をクリックします。

    注:これ以外のオプションについてはデフォルトの設定のままにしておきます。

  10. [Apply] をクリックします。

  11. [OK] をクリックします。

  12. CA MMC スナップインを開きます。

  13. [Certificate Templates] を右クリックして、[New] > [Certificate Template to Issue] を選択します。

  14. 作成した新しいテンプレートを選択します。

  15. [OK] をクリックします。

  16. CA を再起動します。

    新しいテンプレートが Certificate Template リストに組み込まれます。

新規証明書を作成しようとすると、「Failed to create 'CertificateAuthority.Request' object」というエラー メッセージが表示される場合あります。

このエラーを修正するには、次の手順を実行します。

  1. [Start] > [Administrative Tools] > [IIS] を選択します。

  2. [Web Sites] > [Default Web Site] を展開します。

  3. [CertSrv] を右クリックして、[Properties] を選択します。

  4. [Virtual Directory] タブの [Application settings] セクションの [Configuration] ボタンをクリックします。

  5. [Options] タブを選択します。

  6. [Enable session state] オプションにチェックを入れます。

    注:これ以外のオプションについてはデフォルトの設定のままにしておきます。

  7. [OK] を 2 回クリックします。

  8. IIS を再起動します。

    注:2000 ベースのドメインのスキーマは、2003 ベースの adprep/forestprep/domainprep との互換性がないため、2003 ベースの CA を使用しても EAP では機能しません。「Downloading ActiveX Control」というメッセージが表示されてブラウザがロックする場合は、次の URL を参照して、修正プログラムを実行する必要があります。http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B330389 leavingcisco.com

    注:CSP フィールドが「Loading....」と表示された状態になる場合は、要求を送信しているマシン上にソフトウェア ファイアウォールが設定されていないかどうかを確認します。ZoneLabs の ZoneAlarm を使用すると、高い確率で毎回このエラーが発生します。この問題は他のソフトウェアでも発生する場合があります。



CA からの証明書の承認

次の手順を実行します。

  1. [Start] > [Programs] > [Administrative Tools] > [Certificate Authority] を選択します。

  2. 左側のペインの証明書を展開します。

  3. [Pending Requests] を選択します。

  4. 証明書を右クリックします。

  5. [All Tasks] を選択します。

  6. [Issue] を選択します。



Windows Server での証明書のインストール



ACS サーバへのサーバ証明書のダウンロード

次の手順を実行します。

  1. ACS サーバから、CA(http://IP_of_CA_server/certsrv/)を表示します。

  2. [Check on a Pending Certificate] を選択します。

  3. [Next] をクリックします。

  4. 証明書を選択します。

  5. [Next] をクリックします。

  6. [Install] をクリックします。



ACS サーバへの CA 証明書のインストール

注:ACS と CA を同じサーバにインストールした場合は、このセクションの手順は必要ありません。

    次の手順を実行します。

  1. ACS サーバから、CA(http://IP_of_CA_server/certsrv/)を表示します。

  2. [Retrieve the CA certificate or certificate revocation list] を選択します。

  3. [Next] をクリックします。

  4. [Base 64 encoded] を選択します。

  5. [Download CA certificate] をクリックします。

  6. [Open] をクリックします。

  7. [Install certificate] をクリックします。

  8. [Next] をクリックします。

  9. [Place all certificates in the following store] を選択します。

  10. [Browse] をクリックします。

  11. [Show physical stores] ボックスにチェックマークを入れます。

  12. [Trusted root certification authorities] リストを展開します。

  13. [Local Computer] を選択します。

  14. [OK] をクリックします。

  15. [Next] をクリックします。

  16. [Finish] をクリックします。

    メッセージ ボックスが表示されます。

  17. [OK] をクリックします。

    注:サーバ証明書とは異なる CA を通してクライアント証明書が作成された場合は、クライアント証明書の作成に関与したルート CA および中間 CA のすべてについて、この手順を繰り返す必要があります。



サーバ証明書を使用するための ACS のセットアップ

次の手順を実行します。

  1. ACS サーバで [System Configuration] をクリックします。

  2. [ACS Certificate Setup] を選択します。

  3. [Install ACS certificate] を選択します。

  4. [Use certificate from storage] を選択します。

  5. CN 名を入力します(「サーバ証明書の作成」セクションのステップ 8 で使用したものと同じ名前)。

  6. [Submit] をクリックします。

  7. ACS サーバで [system configuration] をクリックします。

  8. [ACS Certificate Setup] を選択します。

  9. [Edit Certificate Trust List] を選択します。

  10. [CA] ボックスにチェックマークを入れます。

  11. [Submit] をクリックします。



証明書署名要求の生成

次の手順を実行します。

  1. [System Configuratio] > [ACS Certificate Setup] > [Generate Certificate Signing Request] を開きます。

  2. [Certificate subject] フィールドに「cn=name」形式で名前を入力します。

  3. 秘密鍵ファイルの名前を入力します。

    注:このフィールドでは、秘密鍵のパスがキャッシュされます。そのため、CSR 作成後にもう一度 [Submit] をクリックすると、秘密鍵が上書きされてしまうため、最初に作成した CSR と一致しなくなります。その結果、サーバ証明書をインストールしようとすると、「private key does not match」というエラーが表示される可能性があります。

  4. 秘密鍵のパスワードを入力します。

  5. パスワードを確認します。

  6. キー長に 1024 を選択します。

    注:ACS では、1024 より大きなサイズのキーを生成できます。ただし、1024 より大きなキーは EAP では動作しません。ACS での認証は通過するように見えますが、クライアントでは認証を試みるとハングします。

  7. [Submit] をクリックします。

  8. 出力された CSR を右側にコピーして、CA に送信します。



CSR を使用したサーバ証明書の作成

次の手順を実行します。

  1. FTP サーバから、CA(http://IP_of_CA_server/certsrv/)を表示します。

  2. [Request a certificate] オプションを選択します。

  3. [Next] をクリックします。

  4. [Advanced request] を選択します。

  5. [Next] をクリックします。

  6. [Submit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file] を選択します。

  7. 証明書署名要求の生成」セクションのステップ 8 の出力を、[Base64 Encoded Certificate Request] フィールドに貼り付けます。

  8. [Submit] をクリックします。

  9. [Download CA certificate] をクリックします。

  10. [Save] をクリックし、証明書の名前を入力して、FTP ディレクトリに保存します。



Windows アプライアンスでの証明書のインストール

FTP サーバへの CA 証明書のダウンロード

次の手順を実行します。

  1. FTP サーバから、CA(http://IP_of_CA_server/certsrv/)を表示します。

  2. [Retrieve the CA certificate or certificate revocation list] を選択します。

  3. [Next] をクリックします。

  4. [Base 64 encoded] を選択します。

  5. [Download CA certificate] をクリックします。

  6. [Save] をクリックし、証明書の名前を入力して、FTP ディレクトリに保存します。



アプライアンスでの CA 証明書のインストール

次の手順を実行します。

  1. [System Configuratio] > [ACS Certificate Setup] > [ACS Certification Authority Setup] を開きます。

  2. [Download CA certificate file] をクリックします。

  3. [FTP Server] フィールドに FTP サーバの IP アドレスまたはホスト名を入力します。

  4. Cisco Secure ACS が FTP サーバへのアクセスに使用できる有効なユーザ名を [Login] フィールドに入力します。

  5. ユーザ名に対応した正しいパスワードを [Password] フィールドに入力します。

  6. FTP サーバのルート ディレクトリから CA 証明書ファイルが保存されたディレクトリまでの相対パスを [Remote FTP Directory] フィールドに入力します。

  7. CA 証明書ファイルの名前を [Remote FTP File Name] フィールドに入力します。

  8. [Submit] をクリックします。

  9. フィールドに入力された名前を確認します。

  10. [Submit] をクリックします。

  11. [System Configuration] > [Service Control] で ACS サービスを再起動します。

    注:FTP サーバへの CA 証明書のダウンロード」および「アプライアンスでの CA 証明書のインストール」セクションの手順をスキップした場合には、次のいずれかのエラーが発生する場合があります。

    • EAP-TLS がイネーブルにならず、証明書がインストールされていても、サーバ証明書がインストールされていないというエラー メッセージが表示される。

    • または、EAP タイプが設定されているのに、「EAP type not configured」というエラーが発生する。

    注:サーバ証明書の作成に中間 CA を使用している場合には、ルート CA から サーバ証明書までのチェーンを構成するすべての CA(ルート CA 証明書を含む)について、これらの手順を繰り返す必要があることにも注意してください。また、サーバ証明書とは異なる CA を通してクライアント証明書が作成された場合にも、クライアント証明書の作成に関与したルート CA および中間 CA のすべてについて、この手順を繰り返す必要があります。



アプライアンスでのサーバ証明書のインストール

次の手順を実行します。

  1. [System Configuration] > [ACS Certificate Setup] を開きます。

  2. [Install ACS Certificate] をクリックします。

  3. ファイル オプションから [Read certificate] を選択します。

  4. [Download certificate file] リンクをクリックします。

  5. [FTP Server] フィールドに FTP サーバの IP アドレスまたはホスト名を入力します。

  6. Cisco Secure ACS が FTP サーバへのアクセスに使用できる有効なユーザ名を [Login] フィールドに入力します。

  7. [Password] フィールドに正しいパスワードを入力します。

  8. FTP サーバのルート ディレクトリからサーバ証明書ファイルが保存されたディレクトリまでの相対パスを [Remote FTP Directory] フィールドに入力します。

  9. サーバ証明書ファイルの名前を [Remote FTP File Name] フィールドに入力します。

  10. [Submit] をクリックします。

  11. 秘密鍵のパスおよびパスワードを入力します。「証明書署名要求の生成」セクションのステップ 3 および 4 を参照してください。

  12. [Submit] をクリックします。



その他のタスク

グローバル認証の設定

次の手順を実行します。

  1. ACS サーバで [System Configuration] をクリックします。

  2. [Global Authentication Setup] をクリックします。

  3. [Allow EAP-TLS] をクリックします。

  4. 1 つまたは複数の証明書確認オプションを選択します。すべての方式を選択した場合は、ACS では、確認に成功するかまたはすべての方式が失敗するまで、それぞれの方式が順番に試行されます。

  5. [Submit] をクリックします。

  6. PC を再起動します。



ACS での AP の設定

ACS で AP を設定するには、次の手順を実行します。

  1. ACS サーバで [Network Configuration] をクリックします。

  2. [Add Entry] をクリックして、AAA クライアントを追加します。

  3. ボックスに次の値を指定します。

    • AAA Client IP Address:AP の IP アドレス

    • Key:Make up a key(キーが AP 共有鍵と一致することを確認)

    • Authenticate Using:RADIUS(Cisco Aironet)

  4. [Submit] をクリックします。

  5. PC を再起動します。

    注:AAA クライアントのセットアップでは、デフォルトの設定を変更しないでください。



AP の設定

注:ACU をインストールしたい場合は、Network-EAP が必要です。

ブロードキャスト キー ローテーションを使用している場合は、鍵はすでに設定済みであるため、鍵を設定する必要はありません。鍵が設定されていない場合は、[Setup] > [Radio Advance] を開いて、ブロードキャスト キー ローテションを設定します。5 分(300 秒)より短い値を設定する必要はありません。値が設定されたら、[OK] をクリックして [Radio Data Encryption] ページに戻ります。



VxWorks

次の手順を実行します。

  1. AP を開きます。

  2. [Setup] > [Security] > [Authentication Server] を選択します。

  3. ACS の IP アドレスを入力します。

  4. 共有秘密鍵を入力します。この値は ACS キーと一致している必要があります。

  5. [EAP Authentication] ボックスにチェックマークを入れます。

  6. [OK] をクリックします。

  7. [Setup] > [Security] > [Radio Data Encryption] を選択します。

  8. [Open] ボックスにチェックマークを入れます。

  9. ブロードキャスト キー ローテーションを使用していない場合は、[WEP key 1] および [128] を選択します。

  10. [Use of Data Encryption by Stations] を [Full Encryption] に変更します(変更できない場合は、先に [Apply] をクリックします)。

  11. [OK] をクリックします。



IOS AP Web インターフェイス

次の手順を実行します。

  1. [Security] > [Server Manager] を選択します。

  2. [Current Server] リストから [RADIUS] を選択します。

  3. ACS の IP アドレスを入力します。

  4. 共有秘密鍵を入力します。この値は ACS のキーと一致している必要があります。

  5. [EAP Authentication] ボックスにチェックマークを入れます。

  6. [EAP Authentication] リストから、RADIUS サーバの IP アドレスを選択します。

  7. 警告ダイアログボックスで [OK] をクリックします。

  8. [Apply] をクリックします。



SSID Manager(WEP 暗号化のみ)

WEP 暗号化のみを使用する場合は、次の手順を実行します。

  1. [Current SSID List] から [SSID] を選択します。または [SSID] フィールドに新しい SSID を入力します。

  2. [Open Authentication] ボックスにチェックマークを入れます。

  3. リストから [with EAP] を選択します。

  4. [Network EAP] ボックスにチェックマークを入れます。

  5. [Apply] をクリックします。



Encryption Manager(WEP 暗号化のみ)

WEP 暗号化のみを使用する場合は、次の手順を実行します。

  1. [Security] > [Encryption Manager] を選択します。

  2. [WEP Encryption] オプション ボタンをクリックします。

  3. リストから [Mandatory] を選択します。

  4. [Encryption Key 1] オプション ボタンをクリックします。

  5. 鍵を入力します。

  6. [Key Size] リストから [128] を選択してください。

  7. [Apply] をクリックします。

    注:WPA を使用する場合は、設定が異なります。詳細は、このドキュメントの最後の WPA キー管理に関する補足説明を参照してください。



クライアント用ルート CA 証明書のダウンロードとインストール

この手順は、そのクライアントで動作するそれぞれの EAP-TLS のクライアントについて実行する必要があります。次の手順を実行します。

  1. クライアント PC から、CA(http://IP_of_CA_server/certsrv/)を表示します。

  2. [Retrieve a CA certificate] を選択します。

  3. [Next] をクリックします。

  4. [Base 64 encoded] を選択します。

  5. [Download CA certificate] をクリックします。

  6. [Open] をクリックします。

  7. [Install Certificate] をクリックします。

  8. [Next] をクリックします。

  9. [Place all certificates in the following store] を選択します。

  10. [Browse] をクリックします。

  11. [Show physical stores] ボックスにチェックマークを入れます。

  12. [Trusted root certification authorities] を展開して、[Local Computer] を選択します。

  13. [OK] をクリックします。

  14. [Next] をクリックします。

  15. [Finish] をクリックします。

  16. メッセージ「The import was successful」が表示されたメッセージ ボックスで、[OK] をクリックします。



クライアント証明書の作成

エンタープライズ CA

次の手順を実行します。

  1. クライアントのユーザ アカウントから、CA(http://IP_of_CA_server/certsrv/)を表示します。

  2. [Request a certificate] オプションを選択します。

  3. [Next] をクリックします。

  4. [Advanced request] を選択します。

  5. [Next] をクリックします。

  6. [Submit a certificate request to this CA using a form] を選択します。

  7. [Next] をクリックします。

  8. [Certificate Template] リストで [User] を選択します。

  9. [Key Options] に次の値を設定します。

    • CSP:Microsoft Base Cryptographic Provider v1.0

    • Key Size:1024

    • その他のすべてのオプション:デフォルト値のまま

  10. [Submit] をクリックします。

    Your certificate request has been received...」というメッセージを示すメッセージ ボックスが表示されます。



スタンドアロン CA

次の手順を実行します。

  1. クライアントのユーザ アカウントから、CA(http://IP_of_CA_server/certsrv/)を表示します。

  2. [Request a certificate] オプションを選択します。

  3. [Next] をクリックします。

  4. [Advanced request] を選択します。

  5. [Next] をクリックします。

  6. [Submit a certificate request to this CA using a form] を選択します。

  7. [Next] をクリックします。

  8. [CN] フィールドにユーザ名を入力します。認証データベースのユーザ名と一致している必要があります。

  9. [Intended Purpose] に [Client Authentication Certificate] を選択します。

  10. [Key Options] に次の値を設定します。

    • CSP:Microsoft Base Cryptographic Provider v1.0

    • Key Size:1024

    • その他のすべてのオプション:デフォルト値のまま

  11. [Submit] をクリックします。

    Your certificate request has been received...」というメッセージを示すメッセージ ボックスが表示されます。



CA からのクライアント証明書の承認

次の手順を実行します。

  1. [Start] > [Programs] > [Administrative Tools] > [Certificate Authority] を選択して、CA を開きます。

  2. 左側の証明書を展開します。

  3. [Pending Requests] をクリックします。

  4. 証明書を右クリックして、[All Tasks] を選択します。

  5. [Issue] を選択します。



クライアント PC でのクライアント証明書のインストール

次の手順を実行します。

  1. クライアントのユーザ アカウントから、CA(http://IP_of_CA_server/certsrv/)を表示します。

  2. [Check on a Pending Certificate] を選択します。

  3. [Next] をクリックします。

  4. 証明書を選択します。

  5. [Next] をクリックします。

  6. [Install] をクリックします。

    注:証明書のインストールを確認するには、Microsoft Internet Explorer から [Tools] > [Internet Options] > [Content] > [Certificates] を選択します。 ログイン ユーザ ID またはユーザ名と同じ名前の証明書が表示されていれば成功です。



ACS でのクライアント証明書の信頼

クライアント証明書とサーバ証明書が異なる CA を使用して作成されている場合は、次の手順を実行する必要があります。

  1. ACS サーバへの CA 証明書のインストール」および「アプライアンスでの CA 証明書のインストール」セクションの手順に従って、ルート CA 証明書および中間 CA 証明書がインストールされていることを確認します。

  2. ACS で [System Configuration] > [ACS Certificate Setup] を開きます。

  3. [Edit Certificate Trust List] をクリックします。

  4. クライアント証明書を作成したルート CA の横にあるボックスをクリックします。

  5. [Submit] をクリックします。



EAP-TLS 用クライアントのセットアップ

次の手順を実行します。

  1. [Start] > [Control Panel] > [Network Connections] を選択します。

  2. 無線ネットワークを右クリックして、[Properties] をクリックします。

  3. [Wireless Network] タブをクリックします。

  4. [use windows to configure...] にチェックが入っていることを確認します。

  5. リストに SSID が表示されていたら、[Configure] をクリックします。表示されていない場合は、[Add] をクリックします。

  6. SSID を追加します。

  7. [WEP] および [Key is provided for me automatically] チェック ボックスにチェックを入れます。

  8. [Authentication] タブを選択します。

    注:[Authentication] タブが表示されない場合は、802.1X サービスがディセーブル状態でインストールされています。この問題を解決するには、サービスのリストで Wireless Configuration サービスをイネーブルにする必要があります。次の手順を実行します。

    1. [My Computer] を右クリックし、[Manage] を選択します。

    2. [Services and Applications] をクリックします。

    3. [Services] をクリックします。

    4. サービスの Startup の値を [Automatic] に設定します。

    5. サービスを起動します。

    注:[Authentication] タブが表示されているのに使用できない場合には、ネットワーク アダプタのドライバで 802.1x が正しくサポートされていません。詳細は、「Using 802.1x authentication on client computers that are running Windows 2000leavingcisco.com を参照してください。

  9. [enable network-access control using...] にチェックが入っていることを確認します。

  10. [EAP type] に [Smart Card or Other Certificate] を選択して、[Properties] をクリックします。

  11. [Use certificate on this computer] オプションを選択します。

  12. [Use simple certificate selection] チェック ボックスにチェックを入れます。

  13. [Trusted root certificate] の下の CA のボックスにチェックを入れます。

  14. [OK] を 3 回クリックします。



マシン認証に関する補足説明

EAP-TLS マシン認証は、Active Directory と エンタープライズ ルート CA の両方で必須です。EAP-TLS マシン認証の証明書を取得するには、コンピュータは、有線接続またはセキュリティをディセーブルにした 802.1x による無線接続のどちらかによって、エンタープライズ CA に接続する必要があります。これは、(「Certificate Template」フィールドに「Machine」が定義された)有効なマシン証明書を取得するただ 1 つの方法です。マシン証明書を取得できた場合には、Certificates (Local Computer) MMC スナップインで表示すると、[Certificates (Local Computer)] > [Personal] > [Certificates] フォルダにインストールされています。証明書には、Subject および SAN フィールドに、完全修飾 AD マシン名が保存されています。コンピュータの名前が保存されていても、このセクションで説明した方法で作成されていない証明書の場合は、(「Certificate Template」 フィールドに「Machine」が定義された)正しいマシン証明書ではありません。そのような証明書はマシン認証には使用されませんが、OS には正常なユーザ証明書として認識されます。



マシン認証を許可するための ACS のセットアップ

次の手順を実行します。

  1. [External User Databases] > [Database Configuration] を開きます。

  2. [Windows Database] をクリックします。

  3. [Configure] をクリックします。

  4. [Enable EAP-TLS machine authentication] チェック ボックスにチェックを入れます。

  5. [Submit] をクリックします。



証明書自動登録のためのドメインの設定

次の手順を実行します。

  1. ドメイン コントローラで Users and Computers MMC スナップインを開きます。

  2. ドメイン エントリを右クリックして、[Properties] をクリックします。

  3. [Group Policy] タブを開きます。

  4. [Default Domain Policy] を選択します。

  5. [Edit] をクリックします。

  6. [Computer Configuration] > [Windows Settings] > [Security Settings] > [Public Key Policies] を開きます。

  7. [Automatic Certificate Request Settings] を右クリックします。

  8. [New] > [Automatic Certificate Request] を選択します。

  9. [Next] をクリックします。

  10. [Computer] を選択します。

  11. [Next] をクリックします。

  12. エンタープライズ CA にチェックを入れます。

  13. [Next] をクリックします。

  14. [Finish] をクリックします。



マシン認証のためのクライアントのセットアップ

ドメインへの参加

自動登録を設定する前に、クライアントがドメインに参加していた場合には、自動登録を設定した直後にコンピュータを再起動するときにドメインに再参加する必要がないように、マシンに証明書を発行する必要があります。

ドメインに参加するには、次の手順を実行します。

  1. 管理者権限を持つアカウントで Windows にログインします。

  2. [My Network Places] を右クリックして、[Properties] を選択します。

  3. [Computer Name] タブを選択します。

  4. [Change] をクリックします。

  5. [Computer name] フィールドにホスト名を入力します。

  6. [Domain] を選択します。

  7. ドメインの名前を入力します。

  8. [OK] をクリックします。

    ログイン ダイアログボックスが表示されます。

  9. ドメインに参加する権限を持つアカウントのクレデンシャルでログインします。

    コンピュータがドメインに参加します。

  10. コンピュータを起動します。

    これでコンピュータはドメインのメンバになり、しかも CA 用の証明書およびマシン証明書を利用できるようになります。



マシン認証のための EAP-TLS サプリカントのセットアップ

次の手順を実行します。

  1. [Start] > [Control Panel] > [Network Connections] を選択します。

  2. ネットワーク接続を右クリックして、[Properties] をクリックします。

  3. [Authentication] タブを選択します。

  4. [Authenticate as computer] にチェックを入れます。



WPA キー管理に関する補足説明

このセクションは、Cisco IOS AP 12.02(13)JA1、ACS 3.2、および WPA ホットフィックスが適用された XP SP1 に適用されます。このセクションで参照するドキュメントによれば、Windows 2000 クライアントでは、WPA キーがネイティブ サポートされておらず、この機能をサポートするには、ベンダー製のクライアント ソフトウェアを使用する必要があります。詳細は、「Overview of the WPA wireless security update in Windows XPleavingcisco.com を参照してください。

Cisco ACU では、ホストベースの EAP(EAP-TLS および PEAP)での WPA キー管理は現在サポートされていません。そのため、Funk Odyssey クライアントまたは Meetinghouse AEGIS クライアントなど、サードパーティのクライアントをインストールする必要があります。Cisco 製品での WPA サポートに関する詳細は、『Windows 用 ワイヤレス LAN アダプタに関するドキュメント』(英語)を参照してください。この情報は、Windows Mobile 2003(Pocket PC)クライアントにも適用されます。

次の 2 つの異なる手順について説明しますが、WPA キー管理の基本部分は同じです。

  1. AP を設定します。

  2. EAP-TLS および WPA 用 XP クライアントをセットアップします。



AP の設定

次の手順を実行します。

  1. [Security] > [Encryption Manager] を開きます。

  2. [WEP Cipher] オプションをクリックします。

  3. [TKIP] を選択します。

  4. [Apply] をクリックします。

  5. [Security] > [SSID Manager] を開きます。

  6. [Current SSID] リストから SSID を選択します。または、[SSID] フィールドに新しい SSID を指定します。

  7. [Open Authentication] にチェックマークを入れます。

  8. リストから [with EAP] を選択します。

  9. [Network EAP] にチェックマークを入れます。

  10. [Authenticated Key Management] のリストから [Mandatory] を選択します。

  11. [WPA] をクリックします。

  12. [Apply] をクリックします。



EAP-TLS および WPA 用 XP クライアントのセットアップ

次の手順を実行します。

  1. [Start] > [Control Panel] > [Network Connections] を選択します。

  2. 無線ネットワークを右クリックして、[Properties] をクリックします。

  3. [Wireless Network] タブを選択します。

  4. [use windows to configure] オプションにチェックマークが入っていることを確認します。

  5. リストに SSID が表示されていたら、[Configure] をクリックします。表示されていない場合は、[Add] をクリックします。

  6. SSID を追加します。

  7. [Network Authentication] に [WPA] を選択します。

  8. [Data Encryption] に [TKIP] を選択します。

  9. [Authentication] タブを選択します。

  10. [enable network-access control using] にチェックマークが入っていることを確認します。

  11. [EAP type] に [Smart Card or Other Certificate] を選択します。

  12. [Properties] をクリックします。

  13. [Use certificate on this computer] オプションを選択します。

  14. [Use simple certificate selection] チェック ボックスにチェックを入れます。

  15. [Trusted root certificate] の下の CA のボックスにチェックを入れます。

  16. [OK] を 3 回クリックします。



確認

現在、この設定に使用できる確認手順はありません。



トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 64064