EAP-TLS または PEAP と EAP-TLS を使用する場合の証明書の要件
EAP-TLS で拡張認証 Protocol-Transport 層セキュリティ (EAP-TLS) または保護された拡張認証プロトコル (PEAP) を使用する場合、クライアント証明書とサーバー証明書は特定の要件を満たす必要があります。
適用対象: Windows 11、Windows 10
元の KB 番号: 814394
概要
スマート カードを使用した TLS や証明書を使用した TLS など、強力な EAP の種類で EAP を使用する場合、クライアントとサーバーの両方で証明書を使用して相互に ID を確認します。 証明書は、認証を成功させるには、サーバーとクライアントの両方で特定の要件を満たす必要があります。
証明書は、証明書の使用に一致する拡張キー使用法 (EKU) 拡張機能で 1 つ以上の目的で構成する必要があります。 たとえば、クライアントからサーバーへの認証に使用される証明書は、 クライアント認証 の目的で構成する必要があります。 または、サーバーの認証に使用される証明書は、サーバー 認証の目的 で構成する必要があります。 認証に証明書を使用する場合、認証子はクライアント証明書を調べ、EKU 拡張機能で正しい目的オブジェクト識別子 (OID) を探します。 たとえば、 クライアント認証 目的の OID は で 1.3.6.1.5.5.7.3.2、 サーバー認証 の OID は です 1.3.6.1.5.5.7.3.1。
証明書の最小要件
ネットワーク アクセス認証に使用されるすべての証明書は、X.509 証明書の要件を満たしている必要があります。 また、Secure Sockets Layer (SSL) 暗号化とトランスポート レベル セキュリティ (TLS) 暗号化を使用する接続の要件も満たす必要があります。 これらの最小要件が満たされたら、クライアント証明書とサーバー証明書の両方が次の追加要件を満たす必要があります。
クライアント証明書の要件
EAP-TLS または PEAP と EAP-TLS のどちらかを使用すると、証明書が次の要件を満たしている場合、サーバーはクライアントの認証を受け入れます。
クライアント証明書は、エンタープライズ証明機関 (CA) によって発行されます。 または、Active Directory ディレクトリ サービスのユーザー アカウントまたはコンピューター アカウントにマップされます。
クライアント上のユーザーまたはコンピューター証明書は、信頼されたルート CA にチェーンされます。
クライアント上のユーザーまたはコンピューター証明書には、 クライアント認証 の目的が含まれます。
ユーザーまたはコンピューター証明書は、CryptoAPI 証明書ストアによって実行されるいずれかのチェックに失敗しません。 また、証明書はリモート アクセス ポリシーの要件に合格します。
ユーザーまたはコンピューター証明書は、ネットワーク ポリシー サーバー (NPS) リモート アクセス ポリシーで指定されている証明書 OID チェックのいずれにも失敗しません。
802.1X クライアントでは、スマート カード証明書またはパスワードで保護されている証明書であるレジストリ ベースの証明書は使用されません。
証明書のサブジェクト代替名 (SubjectAltName) 拡張機能には、ユーザーのユーザー プリンシパル名 (UPN) が含まれています。
クライアントが EAP-TLS 認証で EAP-TLS または PEAP を使用する場合、インストールされているすべての証明書の一覧が [証明書] スナップインに表示されます。ただし、次の例外があります。
- ワイヤレス クライアントでは、レジストリ ベースの証明書とスマート カード ログオン証明書は表示されません。
- ワイヤレス クライアントと仮想プライベート ネットワーク (VPN) クライアントには、パスワードで保護されている証明書は表示されません。
- EKU 拡張機能に クライアント認証 の目的が含まれていない証明書は表示されません。
サーバー証明書の要件
サーバー証明書の検証オプションを使用して、サーバー証明書を 検証 するようにクライアントを構成できます。 このオプションは、[ネットワーク接続] プロパティの [ 認証 ] タブにあります。 クライアントが PEAP-EAP-MS-Challenge ハンドシェイク認証プロトコル (CHAP) バージョン 2 認証、EAP-TLS 認証を使用した PEAP、または EAP-TLS 認証を使用する場合、証明書が次の要件を満たしている場合、クライアントはサーバーの証明書を受け入れます。
サーバー上のコンピューター証明書は、次のいずれかの CA にチェーンされます。
信頼された Microsoft ルート CA。
公開されたルート証明書を含む NTAuthCertificates ストアを持つ Active Directory ドメイン内の Microsoft スタンドアロン ルートまたはサード パーティのルート CA。 サード パーティの CA 証明書をインポートする方法の詳細については、「サードパーティ 証明機関 (CA) 証明書を Enterprise NTAuth ストアにインポートする方法」を参照してください。
NPS または VPN サーバー コンピューター証明書は、 サーバー認証 の目的で構成されます。 サーバー認証の OID は です
1.3.6.1.5.5.7.3.1。コンピューター証明書は、CryptoAPI 証明書ストアによって実行されるチェックのいずれにも失敗しません。 また、リモート アクセス ポリシーの要件のいずれかに失敗することはありません。
サーバー証明書の [サブジェクト] 行の名前は、接続用にクライアントで構成されている名前と一致します。
ワイヤレス クライアントの場合、サブジェクト代替名 (SubjectAltName) 拡張機能には、サーバーの完全修飾ドメイン名 (FQDN) が含まれています。
クライアントが特定の名前のサーバー証明書を信頼するように構成されている場合、ユーザーは別の名前の証明書を信頼することを決定するように求められます。 ユーザーが証明書を拒否した場合、認証は失敗します。 ユーザーが証明書を受け入れた場合、証明書はローカル コンピューターの信頼されたルート証明書ストアに追加されます。
注:
PEAP または EAP-TLS 認証を使用すると、サーバーは証明書スナップインにインストールされているすべての証明書の一覧を表示します。 ただし、EKU 拡張機能の サーバー認証 の目的を含む証明書は表示されません。