EAP-TLS マシン認証を使用する Windows v3.2 の Secure ACS

ダウンロード オプション

  • PDF     (816.5 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (561.5 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.8 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2009 年 4 月 28 日
Document ID:43722

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、Cisco Secure Access Control System(ACS)for Windowsバージョン3.2でExtensible Authentication Protocol-Transport Layer Security(EAP-TLS)を設定する方法について説明します。

注:マシン認証は、Novell認証局(CA)ではサポートされていません。ACS は、EAP-TLS を使用して、Microsoft Windows Active Directory に対するマシン認証をサポートすることができます。エンドユーザ クライアントは、ユーザ認証のプロトコルを、マシン認証に使用するプロトコルと同じものに制限する場合があります。その場合、マシン認証に EAP-TLS を使用するとしたら、ユーザ認証にも EAP-TLS を使用する必要があります。マシン認証に関する詳細については、『Cisco Secure Access Control Server 4.1 ユーザ ガイド』の「マシン認証」のセクションを参照してください。

注:EAP-TLS経由でマシンを認証するようにACSを設定し、ACSがマシン認証用に設定されている場合、クライアントはマシン認証のみを実行するように設定する必要があります。詳細については、「Windows Vista、Windows Server 2008 、および Windows XP Service Pack 3 で、802.1 X ベースのネットワーク用のコンピューターのみの認証を有効にする方法」を参照してください。

前提条件

要件

このドキュメントに関しては個別の前提条件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

このマニュアルの情報は、特定のラボ環境に置かれたデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、使用前にその潜在的な影響について確実に理解しておく必要があります。

背景理論

EAP-TLS と Protected Extensible Authentication Protocol(PEAP)は両方とも、TLS/Secure Socket Layer(SSL; セキュア ソケット レイヤ)トンネルを構築し、使用します。EAP-TLS では、ACS(Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング))サーバとクライアントの両方が証明書を用意し、相互に ID を証明する相互認証を使用します。ただし、PEAPはサーバ側の認証だけを使用します。サーバだけが証明書を持ち、そのIDをクライアントに証明します。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ネットワーク図

このドキュメントでは次の図に示すネットワーク構成を使用しています。

acs-eap-01.gif

Cisco Secure ACS for Windows v3.2 の設定

ACS 3.2 を設定するには、次のステップに従います。

  1. ACS サーバ用の証明書を取得する

  2. ストレージから証明書を使用するよう ACS を設定する

  3. ACS が信頼する必要のある追加の認証局を指定する

  4. サービスを再起動し、ACS での EAP-TLS 設定を構成する

  5. アクセス ポイントを AAA クライアントとして指定および設定する

  6. 外部ユーザ データベースを設定する

  7. Restart the service.

ACS サーバ用の証明書を取得する

証明書を取得するには、次のステップに従います。

  1. ACS サーバで Web ブラウザを開き、CA サーバにアクセスするためにアドレス バーに http://CA-ip-address/certsrv と入力します。

  2. Administrator としてドメインにログインします。

    acs-eap-02.gif

  3. [Request a certificate] を選択してから [Next] をクリックします。

    acs-eap-03.gif

  4. [Advanced request] を選択してから [Next] をクリックします。

    acs-eap-04.gif

  5. [Submit a certificate request to this CA using a form] を選択してから [Next] をクリックします。

    acs-eap-05.gif

  6. 証明書のオプションを設定します。

    1. 証明書のテンプレートとして [Web Server] を選択し、ACS サーバの名前を入力します。

      acs-eap-06a.gif

    2. [Key Size] フィールドに 1024 と入力し、[Mark keys as exportable] および [Use local machine store] チェックボックスをオンにします。

    3. 必要に応じてその他のオプションを設定し、[Submit] をクリックします。

      acs-eap-06b.gif

      注: 「Potential Scripting Violation」ダイアログボックスが表示されたら、「Yes」をクリックして続行します。

      acs-eap-07.gif

  7. [Install this certificate] をクリックします。

    acs-eap-08.gif

    注: 「Potential Scripting Violation」ダイアログボックスが表示されたら、「Yes」をクリックして続行します。

    acs-eap-09.gif

  8. インストールが正常に完了すると、[Certificate Installed] メッセージが表示されます。

    acs-eap-10.gif

ストレージから証明書を使用するよう ACS を設定する

ストレージにある証明書を使用するよう ACS を設定するには、次のステップに従います。

  1. Web ブラウザを開き、ACS サーバにアクセスするためにアドレス バーに http://ACS-ip-address:2002/ と入力します。

  2. [System Configuration] をクリックし、[ACS Certificate Setup] をクリックします。

  3. [Install ACS Certificate] をクリックします。

  4. [Use certificate from storage] オプション ボタンをクリックします。

  5. [Certificate CN] フィールドに、このドキュメントの「ACS サーバ用の証明書を取得する」セクションのステップ 5a で割り当てた証明書の名前を入力します。

  6. [Submit] をクリックします。

    acs-eap-11.gif

    設定が完了すると、ACS サーバの設定が変更されたことを通知する確認メッセージが表示されます。

    注:この時点では、ACSを再起動する必要はありません。

    acs-eap-12.gif

ACS が信頼する必要のある追加の認証局を指定する

ACS は、自身の証明書を発行した CA を自動的に信頼します。クライアント証明書が別の CA により発行された場合は、次のステップを完了する必要があります。

  1. [System Configuration] をクリックし、[ACS Certificate Setup] をクリックします。

  2. [ACS Certificate Authority Setup] をクリックして、信頼された証明書のリストに CA を追加します。

  3. CA 証明書ファイル用のフィールドに証明書の場所を入力し、[Submit] をクリックします。

    acs-eap-13.gif

  4. [Edit Certificate Trust List] をクリックします。

  5. ACS が信頼するすべての CA にチェック マークを付け、ACS が信頼しないすべての CA のチェック マークを外します。

  6. [Submit] をクリックします。

    acs-eap-14.gif

サービスを再起動し、ACS での EAP-TLS 設定を構成する

サービスを再起動して EAP-TLS 設定を構成するには、次のステップに従います。

  1. [System Configuration] をクリックし、[Service Control] をクリックします。

  2. [Restart] をクリックしてサービスを再起動します。

  3. EAP-TLS 設定を構成するために、[System Configuration] をクリックし、[Global Authentication Setup] をクリックします。

  4. [Allow EAP-TLS] チェックボックスをオンにしてから、1 つ以上の証明書比較にチェック マークを付けます。

  5. [Submit] をクリックします。

    acs-eap-15.gif

アクセス ポイントを AAA クライアントとして指定および設定する

アクセス ポイント(AP)を AAA クライアントとして設定するには、次のステップに従います。

  1. [Network Configuration] をクリックします。

  2. [AAA Clients] で、[Add Entry] をクリックします。

    acs-eap-16.gif

  3. [AAA Client Hostname] フィールドにアクセス ポイントのホスト名を入力し、[AAA Client IP Address] フィールドにその IP アドレスを入力します。

  4. Key フィールドに、ACS とアクセス ポイント用の共有秘密鍵を入力します。

  5. 認証方式として [RADIUS (Cisco Aironet)] を選択し、[Submit] をクリックします。

    acs-eap-17.gif

外部ユーザ データベースを設定する

外部ユーザ データベースを設定するには、次のステップに従います。

  1. [External User Databases] をクリックし、[Database Configuration] をクリックします。

  2. [Windows Database] をクリックします。

    注:定義済みのWindowsデータベースがない場合は、Create New Configurationをクリックし、Submitをクリックします。

  3. [Configure] をクリックします。

  4. Configure Domain List の下で、SEC-SYD ドメインを、Available Domains から Domain List へ移動させます。

    acs-eap-18.gif

  5. [Windows EAP Settings] 領域で、[Permit EAP-TLS machine authentication] チェックボックスをオンにしてマシン認証を有効にします。

    注:マシン認証名のプレフィックスは変更しないでくださいMicrosoft では現在、「/host」(デフォルト値)を使用して、ユーザ認証とマシン認証を区別しています。

  6. オプションで、[EAP-TLS Strip Domain Name] チェックボックスをオンにしてドメイン ストリッピングを有効にします。

  7. [Submit] をクリックします。

    acs-eap-19.gif

  8. [External User Databases] をクリックし、[Unknown User Policy] をクリックします。

  9. [Check the following external user databases] オプション ボタンをクリックします。

  10. Windows データベースを [External Databases] リストから [Selected Databases] リストに移動します。

  11. [Submit] をクリックします。

    acs-eap-19a.gif

サービスを再起動する

ACS の設定を完了したら、次のステップに従ってサービスを再起動します。

  1. [System Configuration] をクリックし、[Service Control] をクリックします。

  2. [Restart] をクリックします。

MS 証明書のマシン自動登録の設定

自動でマシン証明書を登録するためのドメインを設定するには、次のステップに従います。

  1. [Start] > [Settings] > [Control Panel] > [Administrative Tools] に移動し、Active Directory ユーザおよびコンピュータを開きます。

  2. [domain sec-syd] を右クリックし、[Properties] を選択します。

  3. [Group Policy] タブをクリックします。

  4. [Default Domain Policy] をクリックしてから [Edit] をクリックします。

  5. [Computer Configuration] > [Windows Settings] > [Security Settings] > [Public Key Policies] > [Automatic Certificate Request Settings] に移動します。

    acs-eap-20.gif

  6. メニュー バーで、[Action] > [New] > [Automatic Certificate Request] に移動し、[Next] をクリックします。

  7. [Computer] を選択し、[Next] をクリックします。

  8. 認証局にチェック マークを付けます(この例では「Our TAC CA」)。

  9. [Next] をクリックし、次に [Finish] をクリックします。

シスコ アクセス ポイントの設定

認証サーバとして ACS を使用する AP を設定するには、次のステップに従います。

  1. Web ブラウザを開き、AP にアクセスするためにアドレス バーに http://AP-ip-address/certsrv と入力します。

  2. ツールバーで [Setup] をクリックします。

  3. [Services] 領域で、[Security] をクリックし、[Authentication Server] をクリックします。

    注:APでアカウントを設定した場合は、ログインする必要があります。

  4. オーセンティケータの構成時の設定を入力します。

    • 802.1x プロトコル バージョンの場合(EAP 認証の場合)は [802.1x-2001] を選択します。

    • Server Name/IP フィールドに ACS サーバの IP アドレスを入力します。

    • [Server Type] として [RADIUS] を選択します。

    • [Port] フィールドに 1645 または 1812 と入力します。

    • アクセス ポイントを AAA クライアントとして指定および設定する」で指定した共有秘密鍵を入力します。

    • サーバの用途を指定するために、[EAP Authentication] のオプションにチェック マークを付けます。

  5. 終了したら、[OK] をクリックします。

    acs-eap-21.gif

  6. [Radio Data Encryption (WEP)] をクリックします。

  7. 内部データ暗号化設定を入力します。

    • データ暗号化のレベルを設定するために、[Use of Data Encryption by Stations is] ドロップダウン リストから [Full Encryption] を選択します。

    • [Accept Authentication Type] として、[Open] チェックボックスをオンにして許容される認証のタイプを設定し、[Network-EAP] チェックボックスをオンにして LEAP を有効にします。

    • [Require EAP] として、[Open] チェックボックスをオンにして EAP を要件にします。

    • [Encription Key] フィールドに暗号キーを入力し、[Key Size] ドロップダウン リストから [128 bit] を選択します。

  8. 終了したら、[OK] をクリックします。

    acs-eap-22.gif

  9. [Network] > [Service Sets] に移動して [SSID Idx] を選択し、正しいサービス セット識別子(SSID)が使用されていることを確認します。

  10. [OK] をクリックします。

    acs-eap-22a.gif

ワイヤレス クライアントの設定

ACS 3.2 を設定するには、次の手順を実行します。

  1. ドメインに参加する

  2. ユーザ用の証明書を取得する

  3. ワイヤレス ネットワーキングを設定する

ドメインに参加する

ドメインにワイヤレス クライアントを追加するには、次の手順を実行します。

注:これらの手順を完了するには、ワイヤレスクライアントが、有線接続または802.1xセキュリティを無効にしたワイヤレス接続のいずれかを介してCAに接続できる必要があります。

  1. ローカル管理者として Windows XP にログインします。

  2. [Control Panel] > [Performance and Maintenance] > [System] を選択します。

  3. [Computer Name] タブを選択し、[Change] をクリックします。

  4. [Computer Name] フィールドにホスト名を入力します。

  5. [Domain] を選択し、ドメインの名前(この例では「SEC-SYD」)を入力します。

  6. [OK] をクリックします。

    acs-eap-23.gif

  7. [Login] ダイアログボックスが表示されたら、ドメインに参加するのに十分な権限が割り当てられているアカウントでログインします。

  8. コンピュータがドメインへの参加に成功したら、コンピュータを再起動します。

    マシンがドメインのメンバーになります。マシン自動登録が設定されているため、マシンには CA の証明書ならびにマシン認証用の証明書がインストールされています。

ユーザ用の証明書を取得する

ユーザ用の証明書を取得するには、次のステップに従います。

  1. 証明書を必要とするアカウントとして、ワイヤレス クライアント(ラップトップ)上で Windows XP とドメイン(SEC-SYD)にログインします。

  2. Web ブラウザを開き、CA サーバにアクセスするためにアドレス バーに http://CA-ip-address/certsrv と入力します。

  3. 同じアカウントで CA サーバにログインします。

    注:証明書は、ワイヤレスクライアントの現在のユーザプロファイルに保存されます。したがって、WindowsとCAにログインするには、同じアカウントを使用する必要があります。

    acs-eap-24.gif

  4. [Request a certificate] オプション ボタンをクリックし、[Next] をクリックします。

    acs-eap-03.gif

  5. [Advanced request] オプション ボタンを選択し、[Next] ボタンをクリックします。

    acs-eap-04.gif

  6. [Submit a certificate request to this CA using a form] オプション ボタンを選択してから [Next] をクリックします。

    acs-eap-05.gif

  7. [Certificate Template] から [User] を選択し、[Key Size] フィールドに 1024 と入力します。

  8. 必要に応じてその他のオプションを設定し、[Submit] をクリックします。

    acs-eap-25.gif

    注: 「Potential Scripting Violation」ダイアログボックスが表示されたら、「Yes」をクリックして続行します。

    acs-eap-07.gif

  9. [Install this certificate] をクリックします。

    acs-eap-08.gif

    注: 「Potential Scripting Violation」ダイアログボックスが表示されたら、「Yes」をクリックして続行します。

    acs-eap-09.gif

    注:ルート証明書ストアは、CA自身の証明書がワイヤレスクライアントにまだ保存されていない場合に表示されることがあります。その場合は [Yes] をクリックして、証明書をローカル ストレージに保存します。

    acs-eap-26.gif

    インストールが正常に完了すると、確認メッセージが表示されます。

    acs-eap-10.gif

ワイヤレス ネットワーキングを設定する

ワイヤレス ネットワーキングのオプションを設定するには、次の手順を実行します。

  1. ドメイン ユーザとしてドメインにログインします。

  2. [Control Panel] > [Network and Internet Connections] > [Network Connections] に進みます。

  3. [Wireless Network] を右クリックして、[Properties] を選択します。

  4. [Wireless Networks] タブをクリックします。

  5. 使用可能なネットワークのリストからワイヤレス ネットワークを選択し、[Configure] をクリックします。

    acs-eap-23.gif

  6. [Authentication] タブで、[Enable IEEE 802.1x authentication for this network] チェックボックスをオンにします。

  7. [EAP type] ドロップダウン リストから [Smart Card or other Certificate] を選択し、[Properties] をクリックします。

    注:マシン認証を有効にするには、Authenticate as computer when computer information is availableチェックボックスにチェックマークを付けます。

    acs-eap-27.gif

  8. [Use a certificate on this computer] オプション ボタンをクリックし、[Use simple certificate selection] チェックボックスをオンにします。

  9. [Validate server certificate] チェックボックスをオンにしてから、[OK] をクリックします。

    注:クライアントがドメインに参加すると、CAの証明書は自動的に信頼されたルート認証局としてインストールされます。クライアントは自動的かつ暗黙的に、クライアントの証明書に署名した CA を信頼します。追加の CA が信頼されるには、Trusted Root Certification Authorities リストで CA をチェックします。

    acs-eap-28.gif

  10. ネットワークのプロパティのウィンドウの [Association] タブで、[Data encryption (WEP enabled)] および [The key is provided for me automatically] チェックボックスをオンにします。

  11. [OK] をクリックしてから再度 [OK] をクリックして、ネットワーク設定のウィンドウを閉じます。

    acs-eap-29.gif

確認

このセクションに記載する情報を参考に、設定が正しく機能していることを確認できます。

  • ワイアレス クライアントが認証済みになっていることを確認するには、以下の手順に従います。

    1. ワイヤレス クライアントで、[Control Panel] > [Network and Internet Connections] > [Network Connections] に進みます。

    2. メニュー バーで [View] > [Tiles] に移動します。

    ワイヤレス接続には「Authentication succeeded」のメッセージが表示されるはずです。

  • ワイヤレス クライアントが認証済みであることを確認するために、ACS Web インターフェイスで [Reports and Activity] > [Passed Authentications] > [Passed Authentications active.csv] に移動します。

トラブルシュート

このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。

  • Service Pack 3 が適用された Windows 2000 Advanced Server 上で、MS Certificate Services がエンタープライズ ルート認証局としてインストールされていることを確認します。

  • Windows 2000(Service Pack 3)とともに Cisco Secure ACS for Windows バージョン 3.2 を使用していること確認します。

  • 無線クライアント上でマシン認証が失敗する場合は、無線接続でネットワーク接続が存在しません。プロファイルが無線クライアント上にキャッシュされているアカウントだけが、ドメインにログインできます。マシンを有線ネットワークにつなげるか、802.1x セキュリティを使用していないワイヤレス接続用に設定する必要があります。

  • ドメインに参加する際に CA への自動登録が失敗する場合は、イベント ビューアを確認して考えられる理由を調べます。

  • 無線クライアントのユーザ プロファイルに有効な証明書がない場合も、パスワードが正しければマシンとドメインにログオンできますが、無線接続には接続性がないことに注意してください。

  • 無線クライアント上の ACS の証明書が無効である(証明書の有効な「from」および「to」の日付、クライアントの日付と時刻の設定、および CA の信頼性に依存)場合、クライアントはその証明書を拒否し、認証が失敗します。ACS は失敗した認証を Web インターフェイスの [Reports and Activity] > [Failed Attempts] > [Failed Attempts XXX.csv] に記録します。これは、たとえば「EAP-TLS or PEAP authentication failed during SSL handshake」のような認証失敗コードで記録されます。 CSAuth.log ファイルには、次のようなエラー メッセージが記録されるはずです。

    AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
other side probably didn't accept our certificate

  • ACS 上のクライアントの証明書が無効である(証明書の有効な「from」および「to」の日付、サーバの日付と時刻の設定、および CA の信頼性に依存)場合、サーバはその証明書を拒否し、認証が失敗します。ACS は失敗した認証を Web インターフェイスの [Reports and Activity] > [Failed Attempts] > [Failed Attempts XXX.csv] に記録します。これは、たとえば「EAP-TLS or PEAP authentication failed during SSL handshake」のような認証失敗コードで記録されます。 ACS が CA を信頼しないために ACS がクライアントの証明書を拒絶する場合、CSAuth.log ファイルには次のようなエラー メッセージが記録されるはずです。

    AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse:
SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate)

    証明書が期限切れになったために ACS がクライアントの証明書を拒絶する場合、CSAuth.log ファイルには次のようなエラー メッセージが記録されるはずです。

    AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse:
SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)

  • ACS Webインターフェイスのログでは、Reports and Activity > Passed Authentications > Passed Authentications XXX.csvおよびReports and Activity > Failed Attempts > Failed Attempts XXX.csvの両方で、EAP-TLS認証が<user-id>@<domain>の形式で表示されます。PEAP 認証は <DOMAIN>\<user-id> の形式で表示されます。

  • 次のステップに従うことで、ACS サーバの証明書と信頼性を確認できます。

    1. Administrator の特権を持つアカウントを使用して、ACS サーバで Windows にログインします。

    2. [Start] > [Run] に移動し、mmc と入力して [OK] をクリックします。これにより、Microsoft 管理コンソールが開きます。

    3. メニュー バーで、[Console] > [Add/Remove Snap-in] に移動し、[Add] をクリックします。

    4. [Certificates] を選択して、[Add] をクリックします。

    5. [Computer account] を選択してから [Next] をクリックし、[Local computer] (このコンソールが実行されているコンピュータ) を選択します。

    6. [Finish]、[Close]、[OK] の順にクリックします。

    7. ACS サーバに有効なサーバ側の証明書が存在することを確認するには、[Console Root] > [Certificates(Local Computer)] > [Personal] > [Certificates] に移動し、ACS サーバの証明書(この例では、OurACS という名前の証明書)があることを確認します。

    8. 証明書を開き、次の項目を確認します。

      • すべての使用目的に関して検証されていない証明書に関する警告が存在しない。

      • 信頼されていない証明書に関する警告が存在しない。

      • 「This certificate is intended to - Ensures the identity of a remote computer.」というメッセージが存在する。

      • 証明書は期限切れになっておらず、また有効になっている(有効な「from」および「to」の日付を確認)。

      • 「You have a private key that corresponds to this certificate.」というメッセージが存在する。

    9. Details タブで、Version フィールドの値が V3 で、Enhanced Key Usage フィールドは Server Authentication (1.3.6.1.5.5.7.3.1) となっていること確認します。

    10. ACS サーバが CA サーバを信頼することを確認するには、[Console Root] > [Certificates (Local Computer)] > [Trusted Root Certification Authorities] > [Certificates] に移動し、CA サーバの証明書(この例では、Our TAC CA という名前の証明書)があることを確認します。

    11. 証明書を開き、次の項目を確認します。

      • すべての使用目的に関して検証されていない証明書に関する警告が存在しない。

      • 信頼されていない証明書に関する警告が存在しない。

      • 証明書の使用目的が正しい。

      • 証明書は期限切れになっておらず、また有効になっている(有効な「from」および「to」の日付を確認)。

      ACS とクライアントが同じルート CA を使用していなかった場合は、CA サーバの証明書連鎖が完全にインストールされていることを確認します。証明書が下位証明機関から取得された場合も、同じことが当てはまります。

  • 次のステップに従うことで、無線クライアントのマシン証明書と信頼性を確認できます。

    1. Administrator の特権を持つアカウントを使用して、ACS サーバで Windows にログインします。[Start] > [Run] に移動し、mmc と入力して [OK] をクリックします。これにより、Microsoft 管理コンソールが開きます。

    2. メニュー バーで、[Console] > [Add/Remove Snap-in] に移動し、[Add] をクリックします。

    3. [Certificates] を選択し、[Add] をクリックします。

    4. [Computer account] を選択してから [Next] をクリックし、[Local computer] (このコンソールが実行されているコンピュータ) を選択します。

    5. [Finish]、[Close]、[OK] の順にクリックします。

    6. マシンが有効なクライアント側の証明書を持っていることを確認します。証明書が無効である場合は、マシン認証は失敗します。証明書を確認するには、[Console Root] > [Certificates (Local Computer)] > [Personal] > [Certificates] に移動します。マシンの証明書があることを確認します。名前の形式は<host-name>.<domain>です。証明書を開き、次の項目を確認します。

      • すべての使用目的に関して検証されていない証明書に関する警告が存在しない。

      • 信頼されていない証明書に関する警告が存在しない。

      • 「This certificate is intended to - Proves your identity to a remote computer.」というメッセージが存在する。

      • 証明書は期限切れになっておらず、また有効になっている(有効な「from」および「to」の日付を確認)。

      • 「You have a private key that corresponds to this certificate.」というメッセージが存在する。

  • Detailsタブで、Versionフィールドの値がV3であること、およびEnhanced Key Usageフィールドに少なくともClient Authenticationという値(1.3.6.1.5.5.7.3.2)が含まれていることを確認します。その他の用途が表示される場合があります。SubjectフィールドにCN = <host-name>.<domain>という値が含まれていることを確認します。その他の値が表示される場合があります。ホスト名とドメインが、証明書で指定されているものと一致することを確認します。

  • クライアントのプロファイルが CA サーバを信頼することを確認するには、[Console Root] > [Certificates (Current User)] > [Trusted Root Certification Authorities] > [Certificates] に移動します。CA サーバ用の証明書があることを確認します(この例の名前は「Our TAC CA」)。証明書を開き、次の項目を確認します。

    • すべての使用目的に関して検証されていない証明書に関する警告が存在しない。

    • 信頼されていない証明書に関する警告が存在しない。

    • 証明書の使用目的が正しい。

    • 証明書は期限切れになっておらず、また有効になっている(有効な「from」および「to」の日付を確認)。

    ACS とクライアントが同じルート CA を使用していなかった場合は、CA サーバの証明書連鎖が完全にインストールされていることを確認します。証明書が下位証明機関から取得された場合も、同じことが当てはまります。

  • Cisco Secure ACS for Windows v3.2 の設定」で説明されている ACS の設定を確認します。

  • MS 証明書のマシン自動登録の設定」で説明されている CA の設定を確認します。

  • シスコ アクセス ポイントの設定」で説明されている AP の設定を確認します。

  • ワイヤレス クライアントの設定」で説明されているワイヤレス クライアントの設定を確認します。

  • AAA サーバの内部データベース、または設定済みの外部データベースの 1 つにユーザ アカウントが存在すること、およびアカウントが無効にされていないことを確認します。

  • セキュア ハッシュ アルゴリズム 2(SHA-2)に基づく CA から発行された証明書は、現在 SHA-2 をサポートしていない Java で開発されているため、Cisco Secure ACS との互換性はありません。この問題を解決するには、CA を再インストールし、SHA-1 で証明書を発行するように設定します。

関連情報

更新履歴

改定 発行日 コメント
1.0
30-Jun-2003
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ