このドキュメントでは、Wireless LAN Controller(WLC)、Microsoft Windows 2003 ソフトウェア、および Cisco Secure Access Control Server(ACS)4.0 を使用して、Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)によるセキュアな無線アクセスを設定する方法について説明します。
注:セキュリティワイヤレスの展開の詳細については、Microsoft Wi-Fi Webサイト およびCisco SAFE Wireless Blueprintを参照してください。
ここでは、インストール担当者が Windows 2003 と Cisco コントローラのインストールに関する基本的な知識を持っていることを前提とし、このドキュメントではテストを実行するための特定の設定についてのみ説明しています。
Cisco 4400 シリーズ コントローラの初期インストールと設定については、『クイック スタート ガイド: Cisco 4400 シリーズ ワイヤレス LAN コントローラ.Cisco 2000 シリーズ コントローラの初期インストールと設定については、『クイック スタート ガイド: Cisco 2000 シリーズ Wireless LAN Controller.
開始する前に、テスト ラボの各サーバに Windows Server 2003 SP1 のオペレーティング システムをインストールし、すべての Service Pack をアップデートしておいてください。コントローラおよび AP をインストールし、最新のソフトウェア アップデートが設定されていることを確認してください。
重要:このドキュメントの執筆時点における Windows Server 2003 の最新アップデートは SP1 で、Windows XP Professional の最新ソフトウェアは更新パッチ適用済みの SP2 です。
このドキュメントでは、EAP-TLS 認証用のユーザ証明書とワークステーション証明書の自動登録を設定できるようにするために、Windows Server 2003 SP 1 Enterprise Edition を使用しています。これについては、このドキュメントの「EAP-TLS 認証」セクションで説明します。証明書の自動登録と自動更新を使用すると、証明書の期限管理と更新を自動化できるため、証明書の配布が容易になると同時に、セキュリティも向上します。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
バージョン 3.2.116.21 が稼働する Cisco 2006 または 4400 シリーズ コントローラ
Cisco 1131 Lightweight Access Point Protocol(LWAPP)AP
Windows 2003 Enterprise(Internet Information Server(IIS)、Certificate Authority(CA; 認証局)、DHCP、Domain Name System(DNS; ドメイン ネーム システム)がインストールされているもの)
Access Control Server(ACS)4.0 が稼働する Windows 2003 Standard
Windows XP Professional SP(および最新の Service Pack)と、無線ネットワーク インターフェイス カード(NIC)(CCX v3 をサポートしているもの)またはサード パーティのサプリカント
Cisco 3560 スイッチ
このドキュメントでは、次のネットワーク セットアップを使用します。
シスコのセキュア ワイヤレス ラボのトポロジ
このドキュメントの第 1 の目的は、ACS 4.0 と Windows 2003 Enterprise サーバを使用する Unified Wireless Network 環境で EAP-TLS を実装する手順を説明することです。特に、クライアントの登録とサーバからクライアントへの証明書の取得を自動化する、クライアントの自動登録の機能に重点を置いています。
注:Temporal Key Integrity Protocol(TKIP)/Advanced Encryption Standard(AES)を搭載したWi-Fi Protected Access(WPA)/WPA2をSPを搭載したWindows XP Professionalに追加するには、『WPA2/Wireless Provisioning Services Information Element (WPS IE update)』をを参照してくださいWindows XP SP2用 。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
DC_CA とは、Windows Server 2003 Enterprise Edition SP1 が稼働していて、次の役割を実行するコンピュータのことです。
IIS を実行する wirelessdemo.local ドメインのドメイン コントローラ
wirelessdemo.local DNS ドメインの DNS サーバ
DHCP サーバ
wirelessdemo.local ドメインのエンタープライズ ルート CA
DC_CA で、これらのサービスを実行できるように設定するには、次の手順を実行します。
次のステップを実行します。
Windows Server 2003 Enterprise Edition SP1 をスタンドアロン サーバとしてインストールします。
IP アドレスは 172.16.100.26、サブネット マスクは 255.255.255.0 で TCP/IP プロトコルを設定します。
次のステップを実行します。
[Start] > [Run] を選択して dcpromo.exe と入力し、[OK] をクリックして Active Directory のインストール ウィザードを開始します。
Welcome to the Active Directory Installation Wizard ページで、Next をクリックします。
[Operating System Compatibility] ページで、[Next] をクリックします。
[Domain Controller Type] ページで [Domain Controller for a new Domain] を選択し、[Next] をクリックします。
[Create New Domain] ページで [Domain in a new forest] を選択し、[Next] をクリックします。
[Install or Configure DNS] ページで [No, just install and configure DNS on this computer] を選択し、[Next] をクリックします。
New Domain Name ページで wirelessdemo.local と入力して、Next をクリックします。
NetBIOS Domain Name ページで、Domain NetBIOS name に wirelessdemo と入力して、Next をクリックします。
Database and Log Folders Location ページで、Database folder と Log folder のディレクトリはデフォルトのまま、Next をクリックします。
Shared System Volume ダイアログボックスで、デフォルトのフォルダ場所が正しいことを確認して、Next をクリックします。
Permissions ページで、Permissions compatible only with Windows 2000 or Windows Server 2003 operating systems が選択されていることを確認して、Next をクリックします。
[Directory Services Restore Mode Administration Password] ページで、パスワードのボックスは空白のままにして、[Next] をクリックします。
[Summary] ページで情報を確認して [Next] をクリックします。
Completing the Active Directory Installation Wizard ページで、Finish をクリックします。
コンピュータの再起動を指示するプロンプトが表示されたら、[Restart Now] をクリックします。
次のステップを実行します。
Administrative ToolsフォルダからActive Directory Domains and Trustsスナップインを開き([スタート] > [管理ツール] > [Active Directory Domains and Trusts])、ドメインコンピュータDC_CA.wirelessdemo.localを右クリックします。
[Raise Domain Functional Level] をクリックし、[Raise Domain Functional Level] ページで [Windows Server 2003] を選択します。
[Raise] をクリックし、[OK] をクリックしてから、もう一度 [OK] をクリックします。
次のステップを実行します。
コントロール パネルの [プログラムの追加と削除] を使用して、Dynamic Host Configuration Protocol(DHCP)を Networking Service コンポーネントとしてインストールします。
Administrative ToolsフォルダからDHCPスナップインを開きます([Start] > [Programs] > [Administrative Tools] > [DHCP])。次に、DHCPサーバDC_CA.wirelessdemo.localを強調表示します。
[Action] をクリックしてから [Authorize] をクリックし、DHCP サービスを許可します。
コンソール ツリーで DC_CA.wirelessdemo.local を右クリックして、New Scope をクリックします。
[New Scope] ウィザードの [Welcome] ページで、[Next] をクリックします。
[Scope Name] ページで、[Name] フィールドに CorpNet と入力します。
[Next] をクリックし、次のようにパラメータを入力します。
開始IPアドレス:172.16.100.1
[End IP address]:172.16.100.254
長さ:24
サブネットマスク:255.255.255.0
Next をクリックし、除外するアドレスの Start IP address に 172.16.100.1、End IP address に 172.16.100.100 と入力します。次に、[Next] をクリックします。これにより、172.16.100.1 ~ 172.16.100.100の範囲のIPアドレスが予約されます。これらの予約IPアドレスはDHCPサーバによって割り当てられることはありません。
[Lease Duration] ページで [Next] をクリックします。
[Configure DHCP Options] ページで [Yes, I want to configure these options now] を選択し、[Next] をクリックします。
Router (Default Gateway) ページで、デフォルト ルータ アドレスの 172.16.100.1 を追加し、Next をクリックします。
Domain Name and DNS Servers ページで、Parent domain フィールドに wirelessdemo.local、IP address フィールドに 172.16.100.26 と入力し、Add をクリックしてから Next をクリックします。
[WINS Servers] ページで [Next] をクリックします。
[Activate Scope] ページで、[Yes, I want to activate this scope now] を選択し、[Next] をクリックします。
Completing the New Scope Wizard ページで Finish をクリックします。
次のステップを実行します。
注:証明書サービスをインストールする前にIISをインストールする必要があり、ユーザーはエンタープライズ管理者OUの一部である必要があります。
コントロール パネルで Add or Remove Programs を開き、Add/Remove Windows Components をクリックします。
Windows Components Wizard ページで Certificate Services を選択し、Next をクリックします。
[CA Type] ページで [Enterprise root CA] を選択し、[Next] をクリックします。
CA Identifying information ページで、Common name for this CA ボックスに wirelessdemoca と入力します。必要に応じてその他の詳細オプションを入力し、Next をクリックします。Certificate Database Settings ページでデフォルトの設定を確認します。
[next] をクリックします。インストールが完了したら、[Finish] をクリックします。
IIS のインストールに関する警告を読んでから、OK をクリックします。
次のステップを実行します。
[Start] > [Administrative Tools] > [Certification Authority] を選択します。
wirelessdemoca CA を右クリックし、Properties を選択します。
[Security] タブの [Group or User names] リストで、[Administrators] をクリックします。
Permissions for Administrators リストで、次のオプションが Allow に設定されていることを確認します。
Issue and Manage Certificates
Manage CA
Request Certificates
Deny に設定されていたり、チェックマークが入っていないオプションがある場合は、権限を Allow に設定します。
OK をクリックして wirelessdemoca CA Properties ダイアログボックスを閉じ、続いて Certification Authority を終了します。
次のステップを実行します。
注:コンピュータが既にドメインに追加されている場合は、「ドメインにユーザを追加する」に進みます。
[Active Directory Users and Computers] スナップインを開きます。
コンソール ツリーで wirelessdemo.local を展開します。
Users を右クリックして New をクリックし、Computer をクリックします。
[New Object – Computer] ダイアログボックスで、[Computer name] フィールドにコンピュータの名前を入力し、[Next] をクリックします。この例では、Client というコンピュータ名を使用します。
[Managed] ダイアログボックスで [Next] をクリックします。
New Object-computer ダイアログボックスで Finish をクリックします。
さらにコンピュータ アカウントを作成する場合は、ステップ 3 ~ 6 を繰り返します。
次のステップを実行します。
[Active Directory Users and Computers] コンソール ツリーで [Computers] フォルダをクリックし、ワイヤレス アクセスを許可するコンピュータを右クリックします。この例では、ステップ 7 で追加した [Client] というコンピュータを使用する手順を示します。
[Properties] をクリックし、[Dial-in] タブに移動します。
Allow access を選択して OK をクリックします。
次のステップを実行します。
[Active Directory Users and Computers] コンソール ツリーで、[Users] を右クリックし、[New] をクリックして、[User] をクリックします。
[New Object - User]ダイアログボックスの[First name]フィールドにWirelessUserと入力し、[User logon name]フィールドにWirelessUserと入力し、[Next]をクリックします。
[New Object – User] ダイアログボックスで、[Password] および [Confirm password] フィールドに任意のパスワードを入力します。[User must change password at next logon] チェックボックスをオフにし、[Next] をクリックします。
[New Object – User] ダイアログボックスで、[Finish] をクリックします。
追加のユーザ アカウントを作成するには、ステップ 2 ~ 4 を繰り返します。
次のステップを実行します。
[Active Directory Users and Computers] コンソール ツリーで、[Users] フォルダをクリックし、[wirelessuser] を右クリックして [Properties] をクリックし、[Dial-in] タブに移動します。
Allow access を選択して OK をクリックします。
次のステップを実行します。
[Active Directory Users and Computers] コンソール ツリーで、[Users] を右クリックして [New] をクリックし、[Group] をクリックします。
[New Object – Group] ダイアログボックスで、[Group name] フィールドにグループの名前を入力し、[OK] をクリックします。このドキュメントでは、WirelessUsers というグループ名を使用します。
次のステップを実行します。
[Active Directory Users and Computers] の詳細ペインで、グループ [WirelessUsers] をダブルクリックします。
[Members] タブに移動し、[Add] をクリックします。
Select Users, Contacts, Computers, or Groups ダイアログボックスで、グループに追加するユーザの名前を入力します。この例では、ユーザ wirelessuser をグループに追加する手順を説明しています。[OK] をクリックします。
[Multiple Names Found] ダイアログボックスで [OK] をクリックします。wirelessuser のユーザ アカウントが、wirelessusers のグループに追加されます。
[OK] をクリックして、wirelessusers のグループに対する変更を保存します。
さらにユーザをグループに追加する場合は、この手順を繰り返します。
次のステップを実行します。
このドキュメントの「WirelessUsers グループにユーザを追加する」セクションのステップ 1 と 2 を繰り返します。
[Select Users, Contacts, or Computers] ダイアログボックスで、グループに追加するコンピュータの名前を入力します。この例では、client という名前のコンピュータをグループに追加する手順を説明しています。
[Object Types] をクリックし、[Users] チェックボックスをオフにして、[Computers] にチェックマークを入れます。
[OK] を 2 回クリックします。CLIENT のコンピュータ アカウントが、WirelessUsers のグループに追加されます。
さらにコンピュータをグループに追加するには、この手順を繰り返します。
Cisco Secure ACS は、Windows Server 2003 Standard Edition SP1 が稼働していて、コントローラに RADIUS 認証および認可を提供するコンピュータです。ACS を RADIUS サーバとして設定するには、このセクションの手順を実行します。
次のステップを実行します。
Windows Server 2003 Standard Edition SP1 を、wirelessdemo.local ドメインの ACS という名前のメンバ サーバとしてインストールします。
注:残りの設定では、ACSサーバ名はcisco_w2003と表示されます。ラボ環境の以降のセットアップでは、ACS あるいは cisco_w2003 で読み換えてください。
ローカルエリア接続の場合は、IP アドレスは 172.16.100.26、サブネット マスクは 255.255.255.0、DNS サーバの IP アドレスは 127.0.0.1 で、TCP/IP プロトコルを設定します。
注:Cisco Secure ACS 4.0 for Windowsの設定方法の詳細については、『Cisco Secure ACS 4.0 for Windowsインストールガイド』を参照してください。
次のステップを実行します。
Cisco Secure ACS をインストールするには、ドメイン管理者アカウントを使用して、ACS という名前のコンピュータにログインします。
注:Cisco Secure ACSをインストールするコンピュータでのみ実行されるインストールがサポートされます。Windows Terminal Services や、Virtual Network Computing(VNC)などの製品を使用したリモート インストールはテストされておらず、サポートされていません。
コンピュータの CD-ROM ドライブに Cisco Secure ACS CD を挿入します。
CD-ROM ドライブが Windows の自動再生機能をサポートしている場合は、Cisco Secure ACS for Windows Server ダイアログボックスが表示されます。
注:コンピュータに必要なサービスパックがインストールされていない場合は、ダイアログボックスが表示されます。Windows の Service Pack の適用は、Cisco Secure ACS のインストール前でもインストール後でもかまいません。インストールはそのまま続行できますが、インストール完了後に、必ず、必要な Service Pack を適用してください。これを行わないと、Cisco Secure ACS が正常に機能しない場合があります。
次のタスクのいずれかを実行します。
Cisco Secure ACS for Windows Server ダイアログボックスが表示された場合は、Install をクリックします。
Cisco Secure ACS for Windows Server ダイアログボックスが表示されない場合は、Cisco Secure ACS CD のルート ディレクトリにある setup.exe を実行します。
Cisco Secure ACS Setup ダイアログボックスに、ソフトウェア ライセンス契約書が表示されます。
ソフトウェア ライセンス契約書をお読みください。ソフトウェア ライセンス契約書に同意する場合は、Accept をクリックします。
Welcome ダイアログボックスに、セットアップ プログラムに関する基本的な情報が表示されます。
Welcome ダイアログボックスの情報を読み終わったら、Next をクリックします。
Before You Begin ダイアログボックスに、インストールを続行する前に完了しておく必要のある項目が一覧表示されます。Before You Begin ダイアログボックスに表示されている項目がすべて完了していたら、各項目に対応するボックスにチェックマークを入れて、Next をクリックします。
注:[開始前]ボックスに表示されているすべての項目を完了していない場合は、[キャンセル]をクリックして、[設定の終了]をクリックします。Before You Begin ダイアログボックスに表示されているすべての項目を完了してから、インストールを再開します。
Choose Destination Location ダイアログボックスが表示されます。Destination Folder にインストール場所が表示されます。このドライブとパスが、Cisco Secure ACS がインストールされる場所になります。
インストール場所を変更する場合は、次の手順を実行します。
[Browse] をクリックします。Choose Folder ダイアログボックスが表示されます。Path ボックスに、インストール場所が表示されます。
インストール場所を変更します。Path ボックスに新しい場所を入力するか、Drives and Directories リストを使用して新しいドライブとディレクトリを選択します。インストール場所は、コンピュータのローカル ドライブである必要があります。
注:パスにパーセント文字「%」を含むパスは指定しないでください。 使用した場合、インストールは問題なく続行されるように見えますが、途中で失敗します。
[OK] をクリックします。
注記:存在しないフォルダを指定した場合、フォルダの作成を確認するダイアログボックスが表示されます。続行する場合は [Yes] をクリックします。
Choose Destination Location ダイアログボックスの Destination Folder に、新しいインストール場所が表示されます。
[next] をクリックします。
Authentication Database Configuration ダイアログボックスに、ユーザを認証する際のオプションが一覧表示されます。認証は、Cisco Secure ユーザ データベースだけを使用して実行するか、これに加えて Windows ユーザ データベースも使用して実行することができます。
注:Cisco Secure ACSをインストールした後、Windowsユーザデータベースに加えて、すべての外部ユーザデータベースタイプの認証サポートを設定できます。
ユーザの認証に、Cisco Secure ユーザ データベースだけを使用する場合は、Check the Cisco Secure ACS database only オプションを選択します。
ユーザの認証に、Cisco Secure ユーザ データベースに加えて、Windows Security Access Manager(SAM)ユーザ データベースまたは Active Directory ユーザ データベースを使用する場合は、次の手順を実行します。
Also check the Windows User Database オプションを選択します。
Yes, refer to "Grant dialin permission to user" setting チェックボックスが使用可能になります。
注:[Yes, refer to Grant dialin permission to user]チェックボックスは、ダイヤルインアクセスだけでなく、Cisco Secure ACSによって制御されるすべての形式のアクセスに適用されます。たとえば、VPN トンネル経由でネットワークにアクセスするユーザは、ネットワーク アクセス サーバにダイヤルインはしません。しかし、Yes, refer to "Grant dialin permission to user" setting ボックスにチェックマークを入れると、Cisco Secure ACS では、ネットワークに対するユーザ アクセスの可否を判別する場合に Windows ユーザのダイヤルイン権限を適用するようになります。
Windows ドメイン ユーザ データベースで認証されたユーザにつき、各ユーザが Windows アカウントでダイヤルイン権限を持っているときだけにアクセスを許可する場合は、Yes, refer to "Grant dialin permission to user" setting ボックスにチェックマークを入れます。
[next] をクリックします。
セットアップ プログラムによって、Cisco Secure ACS がインストールされ、Windows のレジストリが更新されます。
Advance Options ダイアログボックスに、Cisco Secure ACS の機能がいくつか表示されます。これらの機能は、デフォルトでは無効になっています。これらの機能の詳細については、『Cisco Secure ACS ユーザ ガイド Windows 版 Version 4.0』を参照してください。
注:上記の機能は、Cisco Secure ACS HTMLインターフェイスで有効にした場合にのみ表示されます。インストール後は、Interface Configuration セクションの Advanced Options ページで、これらの機能を有効または無効にできます。
有効にする機能につき、それぞれ対応するボックスにチェックマークを入れます。
[next] をクリックします。
Active Service Monitoring ダイアログボックスが表示されます。
注:インストール後、[システムの設定(System Configuration)]セクションの[アクティブサービス管理(Active Service Management)]ページでアクティブサービス監視機能を設定できます。
Cisco Secure ACS でユーザ認証サービスを監視する場合は、Enable Login Monitoring ボックスにチェックマークを入れます。Script to Execute リストで、認証サービスが失敗した場合に適用するオプションを次の中から選択します。
是正措置なし:Cisco Secure ACSはスクリプトを実行しません。
注:このオプションは、イベントメール通知を有効にする場合に便利です。
リブート:Cisco Secure ACSは、Cisco Secure ACSを実行するコンピュータをリブートするスクリプトを実行します。
Restart All:Cisco Secure ACSはすべてのCisco Secure ACSサービスを再起動します。
RADIUS/TACACS+の再起動:Cisco Secure ACSは、RADIUSおよびTACACS+サービスのみを再起動します。
サービス モニタリングでイベントが検出されたときに、Cisco Secure ACS から E メール メッセージを送信させる場合は、Mail Notification ボックスにチェックマークを入れます。
[next] をクリックします。
Database Encryption Password ダイアログボックスが表示されます。
注:データベース暗号化パスワードは暗号化され、ACSレジストリに保存されます。このパスワードは、重大な問題が発生して、データベースに手動でアクセスする必要が発生した場合などに必要になります。このパスワードは、テクニカルサポートがデータベースにアクセスできるように、手元に保存しておいてください。パスワードは、有効期間が終了するごとに変更できます。
データベースの暗号化に使用するパスワードを入力します。パスワードは、最低 8 文字の長さで、文字と数字の両方を含んでいる必要があります。無効な文字はありません。[next] をクリックします。
セットアップ プログラムが終了し、Cisco Secure ACS Service Initiation ダイアログボックスが表示されます。
適用する Cisco Secure ACS Services Initiation のオプションにつき、それぞれ対応するボックスにチェックマークを入れます。各オプションに関連する処理はセットアップ プログラムの終了後に有効になります。
はい、I want to start the Cisco Secure ACS Service now:Cisco Secure ACSを構成するWindowsサービスを開始します。このオプションを選択しなかった場合は、コンピュータを再起動するか、CSAdmin サービスを開始するまで、Cisco Secure ACS HTML インターフェイスは使用できません。
Yes, I want Setup to launch the Cisco Secure ACS Administrator from my browser following installation:現在のWindowsユーザアカウントのデフォルトWebブラウザでCisco Secure ACS HTMLインターフェイスを開きます。
Yes, I want to view the Readme File:Windowsのメモ帳でREADME.TXTファイルを開きます。
[next] をクリックします。
いずれかのオプションを選択していた場合は、Cisco Secure ACS サービスが開始されます。Setup Complete ダイアログボックスに、Cisco Secure ACS HTML インターフェイスに関する情報が表示されます。
[Finish] をクリックします。
注:設定の残りの部分は、設定されているEAPタイプのセクションに記載されています。
次のステップを実行します。
注:コントローラがネットワークに基本的に接続しており、管理インターフェイスへのIP到達可能性が成功していることを前提としています。
https://172.16.101.252 をブラウズして、コントローラにログインします。
[Login] をクリックする。
デフォルト ユーザの admin とデフォルト パスワードの admin を使用してログインします。
Controller メニューから、インターフェイスと VLAN のマッピングを作成します。
[Interfaces] をクリックします。
[New] をクリックします。
Interface name フィールドに Employee と入力します。(このフィールドには、任意の値を入力できます)。
[VLAN ID]フィールドに20と入力します(このフィールドには、ネットワークで伝送される任意のVLANを指定できます)。
[Apply] をクリックします。
次の[Interfaces > Edit]ウィンドウが表示されるように、情報を設定します。
[Apply] をクリックします。
WLAN をクリックします。
[New] をクリックします。
WLAN SSID フィールドに、Employee と入力します。
[Apply] をクリックします。
次の[WLANs > Edit]ウィンドウが表示されるように、情報を設定します。
注:この実習では、WPA2がレイヤ2暗号化方式として選択されています。この SSID に関連付ける TKIP-MIC クライアントで WPA を使用するようにするには、802.11i AES 暗号化方式をサポートしていないクライアントで、WPA compatibility mode と Allow WPA2 TKIP Clients のボックスにチェックマークを入れます。
[Apply] をクリックします。
[Security] メニューをクリックし、RADIUS サーバを追加します。
[New] をクリックします。
RADIUS サーバの IP アドレス(172.16.100.25)を追加します。このアドレスは、前の手順で設定した ACS サーバのものです。
共有キーが、ACS サーバで設定されている AAA クライアントと一致していることを確認します。
[Apply] をクリックします。
これで基本設定が完了し、EAP-TLS のテストが実行できるようになりました。
EAP-TLS 認証を利用するには、コンピュータ証明書とユーザ証明書を無線クライアント上に配置し、無線アクセス用のリモート アクセス ポリシーに EAP タイプとして EAP-TLS を追加して、無線ネットワーク接続を再設定する必要があります。
コンピュータ証明書とユーザ証明書の自動登録を実行するように DC_CA を設定するには、このセクションの手順を実行します。
注:Microsoftは、Windows 2003 Enterprise CAのリリースでWeb Serverテンプレートを変更したため、キーがエクスポートできなくなり、オプションがグレー表示されます。サーバ認証に使用でき、ドロップダウンで使用できるキーをエクスポート可能にマークできる機能を備えた証明書サービスでは、これ以外の証明書テンプレートは提供されていないため、これを実行する新しいテンプレートを作成する必要があります。
注: Windows 2000ではエクスポート可能なキーを使用できます。Windows 2000を使用する場合は、これらの手順に従う必要はありません。
次のステップを実行します。
Start > Runの順に選択し、mmcと入力して、OKをクリックします。
File メニューで Add/Remove Snap-in をクリックし、Add をクリックします。
[Snap-in] の下にある [Certificate Templates] をダブルクリックし、[Close] をクリックしてから [OK] をクリックします。
コンソール ツリーで [Certificate Templates] をクリックします。詳細ペインに、すべての証明書テンプレートが表示されます。
ステップ 2 〜 4 を省略するには、certtmpl.msc と入力すると、Certificate Templates スナップインが開きます。
次のステップを実行します。
[Certificate Templates] スナップインの詳細ペインで、[Web Server] テンプレートをクリックします。
[Action] メニューで [Duplicate Template] をクリックします。
Template display name フィールドに、ACS と入力します。
[Request Handling] タブに移動し、[Allow private key to be exported] にチェックを入れます。
[Requests must use one the following CSPs]を選択し、[Microsoft Base Cryptographic Provider v1.0]をオンにします。オンになっている他のCSPのチェックマークを外して、[OK]をクリックします。
Subject Name タブに移動し、Supply in the request を選択して OK をクリックします。
Security タブに移動して、Domain Admins Group を選択し、Allowed の下部にある Enroll オプションにチェックマークが入っていることを確認します。
重要:このActive Directory情報のみから構築する場合は、[User principal name (UPN)]にチェックマークを付け、Active Directory Users and ComputersスナップインのWirelessUserアカウントに電子メール名が入力されていないため、[Include email name and E-mail name]のののチェックをを外にします。これらの 2 つのオプションを無効にしなかった場合は、自動登録による電子メールの使用が試行され、その結果、自動登録のエラーが発生します。
証明書が自動的にプッシュされてしまうことを防止する必要がある場合は、追加のセキュリティ対策が用意されています。これらの機能は、[Issuance Requirements] タブにあります。このドキュメントでは、詳細は説明しません。
OK をクリックしてテンプレートを保存し、Certificate Authority スナップインからこのテンプレートを発行するようにします。
次のステップを実行します。
[Certification Authority] スナップインを開きます。「Create the Certificate Template for the ACS Web Server」セクションのステップ1 ~ 3に従って、[Certificate Authority]オプションを選択し、[Local Computer]を選択し、[Finish]をクリックします。
コンソール ツリーで、wirelessdemoca を展開し、Certificate Templates を右クリックします。
New > Certificate Template to Issue の順に選択します。
ACS Certificate Template をクリックします。
[OK] をクリックし、[Active Directory Users and Computers] スナップインを開きます。
コンソール ツリーで Active Directory Users and Computers をダブルクリックし、wirelessdemo.local domain を右クリックして Properties をクリックします。
[Group Policy] タブで、[Default Domain Policy] をクリックし、次に [Edit] をクリックします。これにより、Group Policy Object Editor スナップインが開きます。
コンソールツリーで、[コンピュータの構成] > [Windowsの設定] > [セキュリティの設定] > [公開キーポリシー]を展開し、[自動証明書要求の設定]を選択します。
[Automatic Certificate Request Settings]を右クリックし、[New] > [Automatic Certificate Request]を選択します。
[Welcome to the Automatic Certificate Request Setup Wizard] ページで [Next] をクリックします。
Certificate Template ページで Computer をクリックし、Next をクリックします。
Automatic Certificate Request Setup Wizard ページが終了したら、Finish をクリックします。
[Group Policy Object Editor] スナップインの詳細ペインに、コンピュータ証明書の種類が表示されます。
コンソール ツリーで、[User Configuration] > [Windows Settings] > [Security Settings] > [Public Key Policies] を展開します。
詳細ペインで [Auto-enrollment Settings] をダブルクリックします。
[Enroll certificates automatically] を選択し、[Renew expired certificates, update pending certificates and remove revoked certificates] と [Update certificates that use certificate templates] にチェックマークを入れます。
[OK] をクリックします。
重要:ACS サーバが WLAN の EAP-TLS クライアントの認証を実行するには、エンタープライズ ルート CA サーバからサーバ証明書を取得している必要があります。
重要:証明書の設定作業中は、IIS Manager が起動していないことを確認してください。IIS Manager が起動していると、キャッシュ情報に関する問題が発生することがあります。
Enterprise Admin 権限を持っているアカウントで、ACS サーバにログインします。
ローカル ACS マシンで、ブラウザから http://<ルート CA の IP アドレス>/certsrv で Microsoft 認証局サーバを指定します。この例では、IP アドレスは 172.16.100.26 です。
Administrator でログインします。
[Request a Certificate] を選択して、[Next] をクリックします。
[Advanced Request] を選択して、[Next] をクリックします。
Create and submit a request to this CA を選択して、Next をクリックします。
重要:この手順を実行する理由は、Windows 2003 では、エクスポート可能なキーを使用できないため、前の手順で作成した ACS 証明書に基づいて、証明書の要求を生成する必要があるからです。
Certificate Templates で、前の手順で作成した ACS という名前の証明書テンプレートを選択します。テンプレートを選択すると、オプションが変更されます。
Name に、ACS サーバの完全修飾ドメイン名を設定します。この場合、ACSサーバ名はcisco_w2003.wirelessdemo.localです。[Store certificate in the local computer certificate store]がオンになっていることを確認し、[Submit]をクリックします。
ポップアップ ウィンドウに、スクリプト違反の可能性があることを示す警告が表示されます。[Yes] をクリックします。
[Install this certificate] をクリックします。
ポップアップ ウィンドウがもう一度表示され、スクリプト違反の可能性があることが警告されます。[Yes] をクリックします。
Yes をクリックすると、証明書がインストールされます。
この時点で、証明書が Certificates フォルダにインストールされます。このフォルダにアクセスするには、[Start] > [Run]の順に選択し、mmcと入力してEnterキーを押し、[Personal] > [Certificates]を選択します。
これで、ローカル コンピュータ(この例では、ACS または cisco_w2003)に証明書がインストールされたので、続いて ACS 4.0 の証明書ファイル設定用の証明書ファイル(.cer)を生成する必要があります。
ACS サーバで(この例では cisco_w2003)、ブラウザから http://172.16.100.26 /certsrv の Microsoft 認証局サーバを指定します。
次のステップを実行します。
ACS サーバで(この例では cisco_w2003)、ブラウザから http://172.16.100.26 /certsrv の Microsoft CA サーバを指定します。
Select a Task オプションから Download a CA certificate, certificate chain or CRL を選択します。
無線エンコード方式として Base 64 を選択し、Download CA Certificate をクリックします。
File Download Security Warning ウィンドウが表示されます。[Save] をクリックします。
ACS.cer など任意の名前でファイルを保存します。この名前は、ACS 4.0 の ACS Certificate Authority のセットアップで使用しますので、覚えておいてください。
インストール時に作成されたデスクトップのショートカットを使用して、ACS Admin を開きます。
System Configuration をクリックします。
[ACS Certificate Setup] をクリックします。
[Install ACS Certificate]をクリックします。
Use certificate from storage を選択し、完全修飾ドメイン名の cisco_w2003.wirelessdemo.local(名前に ACS を使用している場合は ACS.wirelessdemo.local)を入力します。
[Submit] をクリックします。
System Configuration をクリックします。
Service Control をクリックし、Restart をクリックします。
System Configuration をクリックします。
[Global Authentication Setup]をクリックします。
Allow EAP-TLS とその下にあるすべてのボックスにチェックマークを付けます。
[Submit + Restart] をクリックします。
System Configuration をクリックします。
ACS Certification Authority Setup をクリックします。
ACS Certification Authority Setup ウィンドウで、前の手順で作成した *.cer ファイルの名前と場所を入力します。この例では、作成した *.cer ファイルは ACS.cer で、ルート ディレクトリの c:\ に保存されています。
CA certificate file フィールドに c:\acs.cer と入力し、Submit をクリックします。
ACS サービスを再起動します。
CLIENT は、Windows XP Professional SP2 が稼働し、無線クライアントとして機能していて、無線 AP 経由でイントラネット リソースにアクセス可能なコンピュータです。CLIENT をワイヤレス クライアントとして設定するには、このセクションの手順を実行します。
次のステップを実行します。
イーサネット ケーブルを使用して CLIENT をスイッチに接続し、イントラネット ネットワーク セグメントに接続します。
CLIENT に、Windows XP Professional SP2 をインストールします。このインストールでは、wirelessdemo.local ドメインの CLIENT という名前のメンバ コンピュータとして設定します。
Windows XP Professional SP2をインストールします。EAP-TLSおよびPEAPをサポートするには、このインストールが必要です。
注意: Windows XP Professional SP2では、Windowsファイアウォールが自動的にオンになります。ファイアウォールをオフにしないでください。
次のステップを実行します。
ログオフし、wirelessdemo.local ドメインの WirelessUser アカウントを使用してログインします。
注:コマンド・プロンプトでgpupdateと入力し、コンピュータとユーザー構成のグループポリシー設定を更新し、ワイヤレスクライアントコンピュータのコンピュータとユーザー証明書を直ちに取得します。または、一度ログオフしてから再度ログインしてください。この操作は gpupdate と同じ効果があります。また、ドメインへのログオンには有線接続を使用する必要があります。
注:証明書がクライアントに自動的にインストールされていることを確認するには、証明書MMCを開き、WirelessUser証明書が[Personal Certificates]フォルダで使用できることを確認します。
[Start] > [Control Panel] を選択し、[Network Connections] をダブルクリックして、[Wireless Network Connection] を右クリックします。
Properties をクリックし、Wireless Networks タブに移動して、Use Windows to configure my wireless network settings にチェックマークが入っていることを確認します。
[Add] をクリックします。
Association タブに移動し、Network name (SSID) フィールドに Employee と入力します。
Data Encryption に WEP が設定され、The key is provided for me automatically にチェックマークが入っていることを確認します。
Authentication タブに移動します。
EAP タイプが Smart Card or other Certificate を使用する設定になっていることを確認します。そうなっていない場合は、ドロップダウン メニューでこれを選択します。
ログイン前にマシンの認証を実行する場合は(この場合、ログイン スクリプトやグループ ポリシー プッシュを適用できます)、Authenticate as computer when computer information is available オプションを選択します。
[Properties] をクリックします。
次のウィンドウに示す各ボックスにチェックマークが付いていることを確認します。
OK を 3 回クリックします。
システムトレイの無線ネットワーク接続のアイコンを右クリックして、View Available Wireless Networks をクリックします。
Employee の無線ネットワークをクリックし、Connect をクリックします。
次のスクリーン ショットは、接続が正常に完了したかどうかを示しています。
認証が成功したら、Network Connections を使用して、無線アダプタの TCP/IP 設定を確認します。無線アダプタには、172.16.100.100 〜 172.16.100.254 の範囲内のアドレスが、DHCP スコープ、または無線クライアント用に作成したスコープから割り当てられます。
機能をテストするため、ブラウザを開いて、http://wirelessdemoca(または、エンタープライズ CA サーバの IP アドレス)を表示します。