EAP-TLS または PEAP を EAP-TLS と共に使用する場合の証明書の要件

EAP-TLS で拡張認証プロトコル トランスポート層セキュリティ (EAP-TLS) または Protected Extensible Authentication Protocol (PEAP) を使用する場合は、クライアント証明書とサーバー証明書が特定の要件を満たしている必要があります。

適用対象: Windows 11、Windows 10
元の KB 番号: 814394

まとめ

スマート カードを使用した TLS や証明書を使用した TLS など、強力な EAP の種類で EAP を使用する場合、クライアントとサーバーの両方で証明書を使用して相互に ID を確認します。 証明書は、認証を成功させるために、サーバーとクライアントの両方で特定の要件を満たす必要があります。

証明書は、証明書の使用に一致する拡張キー使用法 (EKU) 拡張機能で 1 つ以上の目的で構成する必要があります。 たとえば、クライアントからサーバーへの認証に使用される証明書は、 Client 認証 目的で構成する必要があります。 または、サーバーの認証に使用する証明書は、 Server Authentication 目的で構成する必要があります。 認証に証明書を使用する場合、認証子はクライアント証明書を調べ、EKU 拡張機能で正しい目的オブジェクト識別子 (OID) を探します。 たとえば、 Client 認証 目的の OID は 1.3.6.1.5.5.7.3.2され、 Server Authentication の OID は 1.3.6.1.5.5.7.3.1。

証明書の最小要件

ネットワーク アクセス認証に使用されるすべての証明書は、X.509 証明書の要件を満たしている必要があります。 また、Secure Sockets Layer (SSL) 暗号化とトランスポート レベル セキュリティ (TLS) 暗号化を使用する接続の要件も満たしている必要があります。 これらの最小要件が満たされたら、クライアント証明書とサーバー証明書の両方が次の追加要件を満たす必要があります。

クライアント証明書の要件

EAP-TLS または EAP-TLS を使用した PEAP では、証明書が次の要件を満たしている場合、サーバーはクライアントの認証を受け入れます。

• クライアント証明書は、エンタープライズ証明機関 (CA) によって発行されます。 または、Active Directory ディレクトリ サービスのユーザー アカウントまたはコンピューター アカウントにマップされます。

• クライアント上のユーザーまたはコンピューター証明書は、信頼されたルート CA にチェーンされます。

• クライアント上のユーザーまたはコンピューター証明書には、 Client 認証 目的が含まれます。

• ユーザーまたはコンピューター証明書は、CryptoAPI 証明書ストアによって実行されるいずれかのチェックに失敗しません。 また、証明書はリモート アクセス ポリシーの要件に合格します。

• ユーザーまたはコンピューターの証明書は、ネットワーク ポリシー サーバー (NPS) リモート アクセス ポリシーで指定されている証明書 OID チェックのいずれかに失敗しません。

• 802.1X クライアントでは、スマート カード証明書またはパスワードで保護されている証明書であるレジストリ ベースの証明書は使用されません。

• 証明書のサブジェクト代替名 (SubjectAltName) 拡張機能には、ユーザーのユーザー プリンシパル名 (UPN) が含まれています。

• クライアントが EAP-TLS 認証で EAP-TLS または PEAP を使用する場合、インストールされているすべての証明書の一覧が証明書スナップインに表示されます。ただし、次の例外があります。

  • ワイヤレス クライアントでは、レジストリ ベースの証明書とスマート カード ログオン証明書は表示されません。
  • ワイヤレス クライアントと仮想プライベート ネットワーク (VPN) クライアントには、パスワードで保護されている証明書は表示されません。
  • EKU 拡張機能の Client 認証 目的を含まない証明書は表示されません。

サーバー証明書の要件

Validate サーバー証明書 オプションを使用して、サーバー証明書を検証するようにクライアントを構成できます。 このオプションは、ネットワーク接続プロパティの Authentication タブにあります。 クライアントが PEAP-EAP-MS-Challenge ハンドシェイク認証プロトコル (CHAP) バージョン 2 認証、EAP-TLS 認証による PEAP 認証、または EAP-TLS 認証を使用する場合、クライアントは証明書が次の要件を満たすときにサーバーの証明書を受け入れます。

• サーバー上のコンピューター証明書は、次のいずれかの CA にチェーンされます。

  • 信頼された Microsoft ルート CA。

  • 公開されたルート証明書を含む NTAuthCertificates ストアを持つ Active Directory ドメイン内の Microsoft スタンドアロン ルートまたはサード パーティのルート CA。 サード パーティ CA 証明書をインポートする方法の詳細については、「 サードパーティ証明機関 (CA) 証明書を Enterprise NTAuth ストアにインポートする方法を参照してください。

• NPS または VPN サーバー コンピューター証明書は、 Server 認証 目的で構成されます。 Server Authentication の OID が1.3.6.1.5.5.7.3.1。

• コンピューター証明書は、CryptoAPI 証明書ストアによって実行されるチェックのいずれにも失敗しません。 また、リモート アクセス ポリシーの要件のいずれかが失敗することはありません。

• サーバー証明書のサブジェクト行の名前は、接続用にクライアントで構成されている名前と一致します。

• ワイヤレス クライアントの場合、サブジェクトの別名 (SubjectAltName) 拡張機能には、サーバーの完全修飾ドメイン名 (FQDN) が含まれています。

• クライアントが特定の名前のサーバー証明書を信頼するように構成されている場合、ユーザーは別の名前の証明書を信頼することを決定するように求められます。 ユーザーが証明書を拒否した場合、認証は失敗します。 ユーザーが証明書を受け入れた場合、証明書はローカル コンピューターの信頼されたルート証明書ストアに追加されます。

Note

PEAP または EAP-TLS 認証を使用すると、サーバーは証明書スナップインにインストールされているすべての証明書の一覧を表示します。 ただし、EKU 拡張機能の Server Authentication 目的を含む証明書のみが表示されます。

詳細

• ネットワーク アクセスの拡張認証プロトコル (EAP)
• PEAP 用の証明書テンプレートと NPS の EAP 要件の構成