none
無線LAN 証明書の有効期限切れ対応について RRS feed

  • 質問

  • Windows Server 2008 R2

    ActiveDirectory証明書サービス・ローカルCAがあります。

    無線LANの認証に使用しております。(ADアカウントでSSOです)

    クライアント認証、サーバー認証、ディレクトリサービス電子メールレプリケーションの証明書があるのですが既に有効期限が切れてしまいました。

    「新しいキーで証明書を書換」「同じキーでのこの証明書の書換」いずれも実行すると

    「ドメインコントローラの認証」→「要求は拒否されました」

    現在のシステム時計または署名ファイルのタイムスタンプで確認すると、必要な証明書の有効期間が過ぎています。

    と表示されて書換は出来ません。(おそらく有効期限が切れた場合は出来ないのかという理解ですが)

    同じキー、または新しいキーで証明書を要求は出来て作成はされるのですが、このままでは無線LANの認証が出来ません。

    この後に行わなければいけない設定・手順をヒントだけでもいいので教えていただけないでしょうか

    宜しくお願い致します。

    2015年10月19日 10:47

回答

  • チャブーンです。

    この件ですが、システムの詳細が一切書いていないので、どなたも答えづらいと思います。まずは、状況を整理してみて下い。無線LAN認証といっても、RADIUSサーバがWindows(Network Poolicy Server)とLinux(Free RADIUS等)では、対応が異なる部分があるためです。

    おっしゃる件ですが、状況からひとまず、以下のケースだと認識しておきます。

    • ドメインコントローラ+Network Policy Serverが同一のサーバ上にインストールされている
    • ローカルCAには「エンタープライズCA」がインストールされている
    • 「クライアント認証、サーバー認証、ディレクトリサービス電子メールレプリケーションの証明書」は「ドメインコントローラ」証明書テンプレートで発行された証明書(クライアント認証・サーバー認証)と「ディレクトリサービス電子メールレプリケーション」証明書テンプレートで発行された証明書(ディレクトリサービス電子メールレプリケーション)
      ※上記はドメインコントローラにデフォルトでインストールされた証明書

    上記の前提が正しければですが、以下の変更が必要かと思います。

    • 上記の証明書のうち、「ドメインコントローラ」証明書を再度作成する
    • Network Policy Server管理コンソールの[ポリシー]-[ネットワークポリシー]の[ワイヤレス接続をセキュリティで保護する]ポリシーの[制約]タブにある[認証方法]-[EAPの種類]にある認証形式を[編集]から、[証明書の発行先]で「(更新した)新しい証明書」を選択する(名前では区別できませんが、選択すると有効期限が表示されますので、どの証明書かわかります)
    • 上記プロパティ画面内の[EAPの種類]が([セキュリティで保護されたパスワード(EAP-MACHAPv2)]ではなくて)[スマートカードまたはその他の証明書]になっている場合は、その[編集]画面から[証明書の発行先]で「(更新した)新しい証明書」を選択する(うえと同じ要領です)

    うえの設定をきちんとすると、NPSのサーバ証明書が更新されたものを使うようになりますので、認証が正しくできるようになると思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。




    2015年10月20日 2:13
    モデレータ

すべての返信

  • チャブーンです。

    この件ですが、システムの詳細が一切書いていないので、どなたも答えづらいと思います。まずは、状況を整理してみて下い。無線LAN認証といっても、RADIUSサーバがWindows(Network Poolicy Server)とLinux(Free RADIUS等)では、対応が異なる部分があるためです。

    おっしゃる件ですが、状況からひとまず、以下のケースだと認識しておきます。

    • ドメインコントローラ+Network Policy Serverが同一のサーバ上にインストールされている
    • ローカルCAには「エンタープライズCA」がインストールされている
    • 「クライアント認証、サーバー認証、ディレクトリサービス電子メールレプリケーションの証明書」は「ドメインコントローラ」証明書テンプレートで発行された証明書(クライアント認証・サーバー認証)と「ディレクトリサービス電子メールレプリケーション」証明書テンプレートで発行された証明書(ディレクトリサービス電子メールレプリケーション)
      ※上記はドメインコントローラにデフォルトでインストールされた証明書

    上記の前提が正しければですが、以下の変更が必要かと思います。

    • 上記の証明書のうち、「ドメインコントローラ」証明書を再度作成する
    • Network Policy Server管理コンソールの[ポリシー]-[ネットワークポリシー]の[ワイヤレス接続をセキュリティで保護する]ポリシーの[制約]タブにある[認証方法]-[EAPの種類]にある認証形式を[編集]から、[証明書の発行先]で「(更新した)新しい証明書」を選択する(名前では区別できませんが、選択すると有効期限が表示されますので、どの証明書かわかります)
    • 上記プロパティ画面内の[EAPの種類]が([セキュリティで保護されたパスワード(EAP-MACHAPv2)]ではなくて)[スマートカードまたはその他の証明書]になっている場合は、その[編集]画面から[証明書の発行先]で「(更新した)新しい証明書」を選択する(うえと同じ要領です)

    うえの設定をきちんとすると、NPSのサーバ証明書が更新されたものを使うようになりますので、認証が正しくできるようになると思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。




    2015年10月20日 2:13
    モデレータ
  • こんにちは、sw_0954 さん
    フォーラムオペレータの佐伯 玲 です。

    その後の状況はいかがでしょうか?
    チャブーンさんからご参考になりそうな情報がお寄せいただけておりましたので「回答としてマーク」とさせていただきました。

    寄せられている情報をご確認いただけましたらご返信くださいね。

    宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2015年10月27日 7:11