ADCS EAP TLS認証用のサーバ、コンピュータ証明書を作成する

Windows

ADCS EAP TLS認証用のサーバ、コンピュータ証明書を作成する場合に参考になる情報です。

 

情報元はこちら。

PEAP と EAP の要件に合わせて証明書テンプレートを構成する | Microsoft Docs

 

PEAP - MS - CHAP v2、PEAP TLS、または EAP TLS を認証方法として使用する場合、NPS では、サーバー証明書の最小要件を満たすサーバー証明書を使用する必要があります。

 

クライアント コンピューターは、サーバー証明書が次の要件を満たしている場合に、サーバーの認証試行を受け入れる。

 

サブジェクト名に値が指定されていること。 空のサブジェクト名を持つネットワーク ポリシー サーバー (NPS) を実行しているサーバーに証明書を発行する場合、その証明書を使用して NPS を認証することはできません。 サブジェクト名を指定して証明書テンプレートを構成するには、次の手順に従います。

 

①[証明書テンプレート] を開きます。
②詳細ウィンドウで、変更する証明書テンプレートを右クリックし、 [プロパティ] をクリック します 。
③[サブジェクト名 ] タブをクリック し、この Active Directory 情報から [ビルド] をクリックします。
④[ サブジェクト名の形式] で、[なし] 以外の値を 選択します。

 

サーバー上のコンピューター証明書は、信頼されたルート証明機関 (CA) にチェーンされ、CryptoAPI によって実行され、リモート アクセス ポリシーまたはネットワーク ポリシーで指定されているチェックに失敗しません。

 

・NPS または VPN サーバーのコンピューター証明書は、拡張キー使用法 (EKU) 拡張機能のサーバー認証の目的で構成されます。 (サーバー認証のオブジェクト識別子は 1.3.6.1.5.5.7.3.1 です)。

 

・必要な暗号化設定を使用してサーバー証明書を構成します。

①[証明書テンプレート] を開きます。
②詳細ウィンドウで、変更する証明書テンプレートを右クリックし、 [プロパティ] をクリック します。
③[ 暗号化] タブを クリックし、次の構成を行います。
プロバイダー カテゴリ: キー Storage プロバイダー
アルゴリズム名: Rsa
プロバイダー: Microsoft Platform Crypto Provider
最小キー サイズ: 2048
ハッシュ アルゴリズム: Sha2
④[次へ] をクリックします。

 

サブジェクトの別名 (SubjectAltName) 拡張が使用されている場合は、これにサーバーの DNS 名が含まれていること。 登録サーバーのドメイン ネーム システム (DNS) 名を使用して証明書テンプレートを構成するには:

 

①[証明書テンプレート] を開きます。
②詳細ウィンドウで、変更する証明書テンプレートを右クリックし、 [プロパティ] をクリック します 。
③[サブジェクト名 ] タブをクリック し、この Active Directory 情報から [ビルド] をクリックします。
④[この 情報を別のサブジェクト名に含める] で、[DNS 名] を選択します。

 

PEAPEAP-TLS を使用する場合、NPS では、コンピューター証明書ストアにインストールされている証明書の一覧が表示されます。ただし、次の例外があります。

・EKU 拡張にサーバー認証目的が含まれていない証明書は表示されません。

サブジェクト名が指定されていない証明書は表示されません。

レジストリ ベースの証明書と、スマート カードによるログオンの証明書は表示されません。

 

 

クライアント証明書の最小要件
EAP-TLS または PEAP-TLS を使用している場合、サーバーは、証明書が次の要件を満たしていると、クライアントによる認証の試みを受け入れます。

 

・クライアント証明書は、エンタープライズ CA によって発行されます。または、 内のユーザーまたはコンピューター アカウントに ( Active Directory Domain Services AD DS。 )

 

・クライアントのユーザーまたはコンピューター証明書が信頼されたルート CA にチェーンされ、クライアント認証のオブジェクト識別子が ( 1.3.6.1.5.5.7.3.2 の EKU 拡張機能に含まれるクライアント認証の目的が含まれます。また、CryptoAPI によって実行され、リモート アクセス ポリシーまたはネットワーク ポリシーで指定されたチェックも、NPS ネットワーク ポリシーで指定されている証明書オブジェクト識別子チェックも失敗しません。 )

 

802.1X クライアントが、スマート カードによるログオンの証明書またはパスワードで保護された証明書のいずれかであるレジストリ ベースの証明書を使用していないこと。

 

・ユーザー証明書の場合、証明書の Subject Alternative Name SubjectAltName 拡張機能には、ユーザー プリンシパル名 ( ) ( UPN が含まれている ) 。 証明書テンプレートに UPN を構成するには、次の手順に従います。

 

・コンピューター証明書の場合、証明書の Subject Alternative Name SubjectAltName 拡張機能には、クライアントの完全修飾ドメインFQDN (DNS 名 とも呼ばれる) が含まれている ( ) ( ) 必要があります。 証明書テンプレートにこの名前を構成するには、次の手順に従います。

 

①[証明書テンプレート] を開きます。
②詳細ウィンドウで、変更する証明書テンプレートを右クリックし、 [プロパティ] をクリック します。
③[サブジェクト名 ] タブをクリック し、この Active Directory 情報から [ビルド] をクリックします。
④[この 情報を別のサブジェクト名に含める] で、[DNS 名] を選択します。

 

PEAP TLSEAP TLS を使用すると、クライアントは証明書スナップインにインストールされている証明書の一覧を表示しますが、 - - 次の例外があります。

・ワイヤレス クライアントでは、レジストリ ベースの証明書とスマート カードによるログオンの証明書は表示されません。

・ワイヤレス クライアントと VPN クライアントでは、パスワードで保護された証明書は表示されません。

・EKU 拡張にクライアント認証目的が含まれていない証明書は表示されません。

 

ちょっとこれだけだと分かりにくいかもしれないので、別の機会で詳細なわかりやすい手順を紹介したいと思います。

 

日経ITエンジニアスクール 暗号と認証 最強の指南書