証明書認証(WPA2-EAP)SSIDをPCへ登録・証明書選択・接続方法
ネットワークの無線化が進み、無線LAN(Wi-Fi)を導入する家庭や企業が今や多数といえます。
また、テレワークの普及によるフリーアドレス化に伴う無線環境の導入や、 テレワーク普及による端末の持ち出しが増加し、ネットワークセキュリティへの配慮が高まってきています。
そんな中、無線LANに接続するための数ある認証方法の中で、高いセキュリティを誇る「証明書認証(wps2-eap)」による認証方式が、 企業で採用されることが多くなっています。
無線LAN(Wi-Fi)の主な認証方式
証明書認証(wps2-eap)のSSIDに接続する為の端末に行う設定方法を今回は解説したいと思います。
証明書の有無でSSIDへの認証可否を行う環境を構築するための、大まかな流れとして下記の通りです。
- 認証装置(RADIUSサーバ)と無線機器の設定(SEが行う)
- 認証装置より証明書の発行(SEが行う)
- 証明書を端末にインポート
- 証明書認証方式のSSIDを端末へ登録⇒接続
今回はSEが設定を行う範囲である、認証装置(RADIUSサーバ)の設定方法とインポートの方法の解説は省略し、クライアント側の設定である、証明書をインポートしている端末へのSSIDを登録、接続完了までの細かい操作方法を解説します。
まずは証明書認証(WPA2-EAP)という方式がどのようなもので、何故数ある無線接続認証方式の中でセキュリティが高いといえるのか、ご参考程度に他の認証方式との比較を以下に記載します。
無線LAN(WI-Fi)の主な認証方式の比較
端末をSSID(Wi-Fi)に接続するために行う、認証方式の中で企業でよく使用される3つを比較します。
| 認証方式 | 認証の際の対象 | コスト | セキュリティ | 認証の特徴 |
| wpa2-psk(一般的なパスワードの認証) | 共有鍵(パスワード) | – | 低 | パスワードをで認証を行う方式です。 一般的な方法で、設定は簡単で費用は掛かりませんが、パスワードが漏洩すると不正アクセスの危険があります。 |
| wpa2-psk+MACアドレス認証 | 共有鍵(パスワード)+MACアドレス | 低 | 中 | 上記のwpa2-pskと組み合わせた方法です。 事前に接続見込みのある端末の、MACアドレスを登録しておく必要がるという点と、wpa2 pskの共有鍵が漏洩し、MACアドレスの偽装を行われると、不正アクセスの危険もあり得ます。 |
| 802.1x EAP-TLS(今回紹介する方法) | サーバ証明書 クライアント証明書 | 高 | 高 | 無線クライアントに認証機器が発行した証明書をインストールすることで接続ができます。 接続する全ての端末に証明書をインストールする必要があり、認証装置の設置も必要となります。 |
wpa2-psk認証(一般的なパスワード認証)
1つは「wpa2-psk」という家庭用のWi-Fiなどでもよく使われる、SSIDを選択してパスワードを入力するという方式です。
こちらは当然ですが、パスワードが漏洩することで誰でも簡単に接続できてしまうというデメリットが存在し、セキュリティ面で優れているとはいえません。
家庭用のWi-Fiや企業の来客用(ゲスト用)のSSIDであれば問題ないですが(ゲスト用無線の場合ACLなどで接続先を制限する必要はあります)社員が接続し、サーバーなどと通信可能なネットワークセグメントのSSIDがこの方式ではセキュリティが低いといえます。
wpa2-psk+MACアドレス認証(登録MACを持つ端末のみ接続可能)
次に、上記の「wp2-psk」にプラスで認証の要素を追加した「wpa2-psk+MACアドレス認証」という方法があります。
こちらは事前に、無線接続する予定の端末(PCやスマートフォンなど)のMACアドレスを認証サーバーに登録しておくことで、登録した端末しか接続できないようにする方法です。
SSIDのパスワードを入力しないと接続できないのに加え、事前にMACを登録している端末しか繋げることができないということで、セキュリティ面では「wpa2-psk」の上位互換といえます。
※MACアドレス認証に関してはこちらで詳しく解説しています。
しかし、接続予定のMACアドレスを登録しておかなければいけないという面や、そもそもMACアドレス認証を行う機能を持っているAP(アクセスポイント)、もしくは無線コントローラーを導入しないといけないという点で、手間やコスト面でデメリットがあるといえます。
加えてMACアドレスは端末に割り当てられた「世界で一意」のアドレスという印象が強いかと思いますが、MACアドレスは偽造することが可能です。
「MACアドレスは世界で一意」という面でこの「wpa2-psk+MAC認証」は、セキュリティ面で強力なメリットがあると思われがちですが、偽装可能となれば別の話となります。
証明書認証 wpa2-eap(証明書をインポートした端末のみ接続可能)
そして最後に挙げる3つ目の認証方式が今回登録方法を解説する、事前に接続する端末へ電子証明書をインポートしておくことで、 接続時にその証明書があることを確認し接続許可を行う「証明書認証(WPA2-EAP)IEEE802.1X」という方式です。
証明書がインポートしていない端末は接続が拒否されるのに加え、証明書自体にパスワードをかけることで、SSIDの利用者であるクライアントが証明書を引き抜き(エクスポート)、別の端末に入れるということもできません。
また証明書は管理者によりすぐに「失効」を行えるため、万が一証明書をインポートしたパソコンを落とした、証明書のパスワードが漏洩してしまったという場合にも、失効させ新しい証明書を作成することで、対応が可能です。
証明書認証 wpa2-eapの導入デメリット
証明書認証方式のSSIDを導入する際のデメリットとしては、MACアドレス認証と同じく、接続する全ての端末に証明書をインストールするという事前の準備が必要なため、手間がかかってしまうという点と、認証装置(RADIUSサーバー)の導入に必要なコストがかかるという面となります。
MACアドレス認証はAPや無線コントローラーにMAC認証機能が備わっていることがありますが、証明書認証はRADIUSサーバーという認証するための装置を構築し、設置する必要がありますのでコスト面もMACアドレス認証よりかかってしまいます。
よく使用される認証装置はソリトンシステムズの「NetAttest(ネットアテスト)」や、日立システムズの「Account@Adapter(アカウントアダプター)」があります。
しかしセキュリティ面では今の時代で、最も強力であるこの証明書を使用した認証方式は、ネットワークの構築費用、ネットワークセキュリティの向上に必要な費用を十分に出せることが可能である、大きな企業は殆どと言っていいほど採用しています。
証明書認証(WPA2-EAP)のSSIDをPCへ登録、接続までの手順
本題である証明書認証(WPA2-EAP)のSSIDをパソコンなどの端末へ登録、接続する手順を解説していきます。
まず何故、この証明書方式のSSIDを登録、接続する方法を詳しく解説する必要があるかというと、通常パソコンなどでSSIDに接続する際は、下記の画像のように右下タスクバーのネットワークアイコンより接続するSSIDを選択し、接続することが可能です。
しかしこの方法で接続しようとした場合、パソコンに事前にインポートした証明書を選択することができないことが多いのに加え、細かい設定が行えないままパソコンへSSIDの情報が登録されてしまうため、今回紹介する手順はMicrosoftが推奨している方法となります。
SSID登録(設定)手順1 -SSID名の指定
まずはコントロールパネルを開き、「ネットワークとインターネット」を選択します。
次に「ネットワークと共有センター」を選択し、「新しい接続またはネットワークのセットアップ」を選択します。
その後「ワイヤレスネットワークに手動で接続します」を選択し、「次へ」をクリックします。
最後の下記画像の赤枠内の箇所を入力し、「次へ」をクリックします。
SSID名は大文字小文字などを区別し、正確に入力して下さい。
このとき、登録するSSIDの電波が、実際に吹いている状況下でなくても登録可能です。
この操作により、パソコンにSSIDが作成されます。
しかしこのままでは、証明書の選択が行えておらず接続することはできませんので「接続の設定を変更します」をクリックします。
SSID登録(設定)手順2 -認証に使用する証明書の紐づけ
[2-1]
ワイヤレスネットワークに関するプロパティ画面が表示されるので、下記画像の赤枠部分にチェックを入れます。
[2-2]
上部タブより「セキュリティ」を選択し、「ネットワークの認証方法の選択(O):」の項目で、「Microsoftスマートカードまたはその他の証明書」を選択します。
[2-3]
次に「設定」をクリックします。
[2-4]
証明書のプロパティ画面に移動するので、「信頼されたルート証明機関(R):」の欄から「認証に使用する証明書」にチェックを入れ、「OK」をクリックします。
※ここで認証に使用する証明書が表示されていない場合は、インポートがうまくいっていない可能性がありますので、端末へのインポートを再度行ってみてください。
[2-5]
上記を行うとワイヤレスネットワークのプロパティ画面に戻るので「OK」をクリックして完了です。
[2-6]
証明書認証のSSIDに無線接続完了!
証明書認証のSSIDに接続できない(失敗)する場合の対処法
上記の方法で接続に失敗する場合は、下記の可能性が考えられます。
- 認証装置(RADIUSサーバ)の設定ミス
- APもしくは無線コントローラーの設定ミス
- 証明書の選択ミス、正しい証明書がインポートされていない
- 別のクライアント証明書が自動で選択されている
この中で上の3つは、設定の見直しや別の端末で同じように設定してみることで、失敗している原因が切り分け可能です。
中でも厄介で気づきにくいのが一番下の「別のクライアント証明書が自動で選択されている」です。
通常証明書認証を行う際、「ルート証明書」と「クライアント証明書」の2つの証明書がパソコンにインポートされている必要がありますが、どの証明書を使用するか指定るする必要があるのは「ルート証明書」のみです。
クライアント証明書は本来、インポートさえされていれば適している証明書が自動で選択されます。(逆に指定することはできません)
無線機器、認証装置の設定がすべて問題なく行なえていて、証明書もインポートされているのにも関わらず接続できない場合は、認証に使用する際のクライアント証明書が間違ったものが自動で選択されていることが考えられます。(接続に失敗する端末に別のクライアント証明書がインポートされているか確認してみてください)
この場合、SSIDの登録時に「証明書の発行者」を指定することで解決することができます。 下記で手順を紹介します。
対処法 -証明書の発行者を指定する
まず[2-2]の画面で「設定」をクリックし、その語の画面で「詳細設定」をクリックします。
次に「証明書の発行者」にチェックを入れ、正しい発行元の名称を選択します。 おそらくルート証明書と同じ名前で表示されていることが多いかと思います。
