拡張認証プロトコル - トランスポート層セキュリティ (EAP-TLS)、Protected Extensible Authentication Protocol - トランスポート層セキュリティ (PEAP-TLS)、および PEAP - Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 (MS-CHAP v2) によるネットワーク アクセス認証に使用する証明書はすべて、X.509 証明書の要件を満たし、Secure Socket Layer/Transport Level Security (SSL/TLS) を使用する接続に対して有効になっている必要があります。サーバーとクライアントの両方の証明書には、他の要件もあります。

サーバー証明書の最小要件

認証方法として PEAP-MS-CHAP v2、PEAP-TLS、または EAP-TLS を使用する場合、NPS サーバーは、サーバー証明書の最小要件を満たしているサーバー証明書を使用する必要があります。

クライアント コンピューターの [サーバーの証明書を検証する] オプションまたはグループ ポリシーを使用して、サーバー証明書を検証するようにクライアント コンピューターを構成できます。

クライアント コンピューターは、サーバー証明書が次の要件を満たす場合にサーバーの認証処理を受け入れます。

  • サブジェクト名に値が指定されていること。サブジェクト名が空白になっている証明書を ネットワーク ポリシー サーバー (NPS) を実行するサーバーに発行した場合、その証明書は NPS サーバーの認証に使用できません。サブジェクト名を指定して証明書テンプレートを構成するには、次の手順に従います。

    1. 証明書テンプレートを開きます。

    2. 詳細ウィンドウで、変更する証明書テンプレートを右クリックし、[プロパティ] をクリックします。

    3. [サブジェクト名] タブをクリックし、[Active Directory の情報から構築する] をクリックします。

    4. [サブジェクト名の形式] で [なし] 以外の値を選択します。

  • サーバーのコンピューター証明書が信頼されたルート証明機関 (CA) につながっていること、および CryptoAPI で実行され、リモート アクセス ポリシーまたはネットワーク ポリシーで指定されている検査にすべて合格していること。

  • NPS サーバーまたは VPN サーバーのコンピューター証明書が、拡張キー使用法 (EKU) 拡張にサーバー認証目的を含んでいるように構成されていること (サーバー認証のオブジェクト ID は 1.3.6.1.5.5.7.3.1)。

  • サーバー証明書が必須のアルゴリズム値 RSA で構成されていること。必須の暗号化設定を構成するには、次の手順に従います。

    1. 証明書テンプレートを開きます。

    2. 詳細ウィンドウで、変更する証明書テンプレートを右クリックし、[プロパティ] をクリックします。

    3. [暗号化] タブをクリックします。[アルゴリズム名] で [RSA] をクリックします。[最小キー サイズ] が 2048 に設定されていることを確認します。

  • サブジェクトの別名 (SubjectAltName) 拡張が使用されている場合は、これにサーバーの DNS 名が含まれていること。登録するサーバーのドメイン ネーム システム (DNS) 名を指定して証明書テンプレートを構成するには、次の手順に従います。

    1. 証明書テンプレートを開きます。

    2. 詳細ウィンドウで、変更する証明書テンプレートを右クリックし、[プロパティ] をクリックします。

    3. [サブジェクト名] タブをクリックし、[Active Directory の情報から構築する] をクリックします。

    4. [代わりのサブジェクト名に次の情報を含める] で、[DNS 名] を選択します。

PEAP と EAP-TLS を使用する場合、NPS サーバーでは、コンピューター証明書ストアにインストールされているすべての証明書が一覧表示されます。ただし、以下の場合は例外です。

  • EKU 拡張にサーバー認証目的が含まれていない証明書は表示されません。

  • サブジェクト名が指定されていない証明書は表示されません。

  • レジストリ ベースの証明書と、スマート カードによるログオンの証明書は表示されません。

クライアント証明書の最小要件

EAP-TLS または PEAP-TLS を使用している場合、サーバーは、証明書が次の要件を満たしていると、クライアントによる認証の試みを受け入れます。

  • クライアント証明書が、エンタープライズ CA によって発行されているか、Active Directory® ドメイン サービス (AD DS) 内のユーザーまたはコンピューターのアカウントにマップされていること。

  • クライアントのユーザーまたはコンピューターの証明書が、信頼されたルート CA にチェーンしていること、EKU 拡張にクライアント認証の目的を含んでいること (クライアント認証のオブジェクト識別子は 1.3.6.1.5.5.7.3.2)、および、CryptoAPI により実行される、リモート アクセス ポリシーまたはネットワーク ポリシーで指定されたチェックや IAS リモート アクセス ポリシーまたは NPS ネットワーク ポリシーで指定された証明書オブジェクト識別子チェックに合格していること。

  • 802.1X クライアントが、スマート カードによるログオンの証明書またはパスワードで保護された証明書のいずれかであるレジストリ ベースの証明書を使用していないこと。

  • ユーザー証明書の場合は、証明書のサブジェクトの別名 (SubjectAltName) 拡張にユーザー プリンシパル名 (UPN) が含まれていること。証明書テンプレートに UPN を構成するには、次の手順に従います。

    1. 証明書テンプレートを開きます。

    2. 詳細ウィンドウで、変更する証明書テンプレートを右クリックし、[プロパティ] をクリックします。

    3. [サブジェクト名] タブをクリックし、[Active Directory の情報から構築する] をクリックします。

    4. [代わりのサブジェクト名に次の情報を含める] で、[ユーザー プリンシパル名 (UPN)] を選択します。

  • コンピューター証明書の場合は、証明書のサブジェクトの別名 (SubjectAltName) 拡張にクライアントの完全修飾ドメイン名 (FQDN) (DNS 名) が含まれていること。証明書テンプレートにこの名前を構成するには、次の手順に従います。

    1. 証明書テンプレートを開きます。

    2. 詳細ウィンドウで、変更する証明書テンプレートを右クリックし、[プロパティ] をクリックします。

    3. [サブジェクト名] タブをクリックし、[Active Directory の情報から構築する] をクリックします。

    4. [代わりのサブジェクト名に次の情報を含める] で、[DNS 名] を選択します。

PEAP-TLS と EAP-TLS を使用する場合、クライアントでは、証明書スナップインにインストールされているすべての証明書が一覧表示されます。ただし、以下の場合は例外です。

  • ワイヤレス クライアントでは、レジストリ ベースの証明書とスマート カードによるログオンの証明書は表示されません。

  • ワイヤレス クライアントと VPN クライアントでは、パスワードで保護された証明書は表示されません。

  • EKU 拡張にクライアント認証目的が含まれていない証明書は表示されません。

目次