無線 LAN 接続に利用されるコンピューター証明書の選択基準について
皆様、こんにちは。Windows プラットフォーム サポート担当の永谷です。
今回は "無線 LAN 接続時に利用されるのコンピューター証明書の選択基準" を紹介します。
- 対象の環境
・ 無線 LAN 接続に、Windows 標準の無線 LAN サプリカントを利用している
・ クライアント PC にて社内無線 LAN に接続する為にコンピューターの証明書(≠ユーザーの証明書)を利用している
・ クライアント PC に複数のコンピューター証明書(≠ユーザーの証明書)を保持している (保持する予定)
・ Windows 8 以降に実装された証明書のフィルタリング機能(今後ブログにて公開予定)を利用していない。
・ コンピューター証明書は以下の公開情報にございます "クライアント証明書の最小要件" を満たしている。
タイトル : PEAP および EAP の証明書の要件
URL : https://technet.microsoft.com/ja-jp/library/cc731363(v=ws.11).aspx
- 無線 LAN のコンピューター証明書の選択基準について
Windows 標準の無線 LAN サプリカントを利用する場合、コンピューター証明書に含まれる
"サブジェクト名 (または サブジェクト代替 (別) 名)" の値によって、証明書の選択動作に差異があります。
下記にそれぞれの OS 毎に動作を紹介します。
■ Windows 7
- 証明書の自動選択順の概要
=======================
- 証明書のサブジェクト名 (または サブジェクト代替名) が、"ホスト名 (FQDN 名) と同じ" 証明書が、優先的に使用されます。
- 証明書のサブジェクト名 (または サブジェクト代替名) が、"ホスト名 (FQDN 名) と同じ" 証明書が、複数存在する場合には、
"有効期限の開始日が新しい" 証明書が、優先的に選択されます。 - 証明書のサブジェクト名 (または サブジェクト代替名) が、"ホスト名 (FQDN 名) と異なる" 証明書のみが複数存在する場合には、
”拇印” の降順 (FF~から始まる証明書が優先) に証明書が選択されます。
=======================
** 証明書の拇印の確認画面
■ Windows 8.1、Windows 10
=======================
- 証明書のサブジェクト名 (または サブジェクト代替名) が、"ホスト名 (FQDN 名) と同じ" 証明書が、優先的に使用されます。
- 証明書のサブジェクト名 (または サブジェクト代替名) が、"ホスト名 (FQDN 名) と同じ" 証明書が、複数存在する場合には、
"有効期限の開始日が新しい" 証明書が、優先的に選択されます。 - 証明書のサブジェクト名 (または サブジェクト代替名) が、"ホスト名 (FQDN 名) と異なる" 証明書のみが複数存在する場合にも、
”有効期限の開始日が新しい” 証明書が選択されます。
=======================
** 補足
サブジェクト名とサブジェクト代替名の双方をもつ証明書の場合においては、サブジェクト代替名が無線 LAN 認証に利用されます
(※ サブジェクト名は無視されます)
特記事項
本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。