none
無線への初回接続時の警告の解消 RRS feed

  • 質問

  • エンタープライズCA、NPSを1台のWin2012R2サーバー上で運用しています。

    認証方式はEAP-TLSです。

    このサーバーから発行した証明書を登録したクライアントPC(Windows7など)を、

    NPSにRADIUSクライアントとして登録したAPに接続しようとすると、初回接続時に警告が出ます。

    一度「接続」をクリックするとその後出なくなりますが、

    何か設定が欠けているために警告が出ているのであれば解消したいです。

    何かご存知の方はいらっしゃらないでしょうか・・・

    警告内容

    ------------------------------------------------------------------------------

    Windowsセキュリティの重要な警告

    接続試行を完了できませんでした

    サーバーから提供された資格情報を検証できませんでした。接続を終了して管理者に連絡し、提供された情報を詳しく伝えることをお勧めします。

    引き続き接続することも可能ですが、その場合、許可されていない可能性のあるサーバーによってセキュリティ上の危険にさらされることになります。

    詳細

    RADIUSサーバー:※

    ルートCA:※

    サーバー※は※によって発行された有効な証明書を提供しましたが、※はこのプロファイルの有効なトラストアンカーとして構成されていません。

    ------------------------------------------------------------------------------

    「※」は上記サーバーのホスト名です


    2016年7月12日 2:23

回答

  • チャブーンです。

    ルートCA証明書がある場合ですが、エラーメッセージの意味合いとして「サーバ証明書を保証するルート証明書があっていない」という意味合いですので、サーバ証明書(NPSに発行した証明書)の出自を確認する必要があります。

    同じWindows証明機関から発行されたサーバ証明書なのかどうか、確認いただく必要があります。

    わからない場合、サーバ証明書をいったんエクスポートし(秘密鍵はなくてかまいません)、クライアントPC側にコピーしたうえ、証明書ファイルを開いて[証明書のパス]が正常かどうか、確認するとわかりやすいと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク nike_sysad 2016年7月14日 2:35
    2016年7月12日 8:34
    モデレータ
  • チャブーン様

    ありがとうございます。

    ご指摘いただいた部分をヒントに解決できました。

    >同じWindows証明機関から発行されたサーバ証明書なのかどうか、

    NPSサーバー側のローカルコンピュータの証明書ストア>個人>証明書 に自動的に登録されたであろう証明書が複数あり、

    その中に「RASおよびIASサーバー」の証明書テンプレートから作成された証明書がありました。

    この証明書自体は問題が無さそうでしたので、NPSサーバーが正しいものであるかの証明がどのように行われるかを調査していきました。

    以下のURLを参考にさせていただき、

    http://blog.engineer-memo.com/2012/04/26/waps-hp-am54g54-%E3%82%92-peap-ms-chap-v2-%E3%81%A7%E4%BD%BF%E7%94%A8/

    NPSコンソール>ポリシー>ネットワークポリシー>作成したポリシーのプロパティ>制約タブ>認証方法>Microsoftスマートカードまたはその他証明書>編集>証明書の発行先 の設定に「RASおよびIASサーバー」の証明書を指定することで、無線接続時の警告が出なくなりました。

    ※当方も↓と同じく、AD CSのルート証明書を選択していました。選択欄には発行先しか表示されていないので、有効期限くらいでしか証明書の見分けがつかないのもアレですが・・・

    6.GPO で登録された自動登録により登録された [RAS および IAS サーバー] のテンプレート元にした証明書を選択し、[OK] をクリックし、元のウィンドウに戻ったら [次へ] をクリックします。 
    # 最初、AD CS のルート証明書を選択していてハマりました。。。。 


    • 編集済み nike_sysad 2016年7月14日 2:32
    • 回答としてマーク nike_sysad 2016年7月14日 2:35
    2016年7月14日 2:29

すべての返信

  • チャブーンです。

    サーバー※は※によって発行された有効な証明書を提供しましたが、※はこのプロファイルの有効なトラストアンカーとして構成されていません。

    このメッセージですが、クライアントPCが取得したサーバ証明書(NPSサーバ)について、適切なルートCA証明書がないことで正当性が確認できていない意味のように思います。

    まずは、クライアントPC側に、Windows CAが発行した「ルートCA証明書」がインストールされているかどうかを確認する必要があります。ローカルコンピュータ証明書ストアの「信頼されたルート証明機関」ストアにないと、適切に動作しません。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2016年7月12日 3:16
    モデレータ
  • チャブーン様

    ご返信有難うございます。

    検証用クライアントPCにて、ローカルコンピュータの証明書ストア>信頼されたルート証明機関を確認したところ、

    警告に表示されているホスト名のルートCA証明書が存在しました。

    おそらくCAとActive Directoryが連携して自動的に配布されたものです。

    2016年7月12日 4:33
  • チャブーンです。

    ルートCA証明書がある場合ですが、エラーメッセージの意味合いとして「サーバ証明書を保証するルート証明書があっていない」という意味合いですので、サーバ証明書(NPSに発行した証明書)の出自を確認する必要があります。

    同じWindows証明機関から発行されたサーバ証明書なのかどうか、確認いただく必要があります。

    わからない場合、サーバ証明書をいったんエクスポートし(秘密鍵はなくてかまいません)、クライアントPC側にコピーしたうえ、証明書ファイルを開いて[証明書のパス]が正常かどうか、確認するとわかりやすいと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク nike_sysad 2016年7月14日 2:35
    2016年7月12日 8:34
    モデレータ
  • チャブーン様

    ありがとうございます。

    ご指摘いただいた部分をヒントに解決できました。

    >同じWindows証明機関から発行されたサーバ証明書なのかどうか、

    NPSサーバー側のローカルコンピュータの証明書ストア>個人>証明書 に自動的に登録されたであろう証明書が複数あり、

    その中に「RASおよびIASサーバー」の証明書テンプレートから作成された証明書がありました。

    この証明書自体は問題が無さそうでしたので、NPSサーバーが正しいものであるかの証明がどのように行われるかを調査していきました。

    以下のURLを参考にさせていただき、

    http://blog.engineer-memo.com/2012/04/26/waps-hp-am54g54-%E3%82%92-peap-ms-chap-v2-%E3%81%A7%E4%BD%BF%E7%94%A8/

    NPSコンソール>ポリシー>ネットワークポリシー>作成したポリシーのプロパティ>制約タブ>認証方法>Microsoftスマートカードまたはその他証明書>編集>証明書の発行先 の設定に「RASおよびIASサーバー」の証明書を指定することで、無線接続時の警告が出なくなりました。

    ※当方も↓と同じく、AD CSのルート証明書を選択していました。選択欄には発行先しか表示されていないので、有効期限くらいでしか証明書の見分けがつかないのもアレですが・・・

    6.GPO で登録された自動登録により登録された [RAS および IAS サーバー] のテンプレート元にした証明書を選択し、[OK] をクリックし、元のウィンドウに戻ったら [次へ] をクリックします。 
    # 最初、AD CS のルート証明書を選択していてハマりました。。。。 


    • 編集済み nike_sysad 2016年7月14日 2:32
    • 回答としてマーク nike_sysad 2016年7月14日 2:35
    2016年7月14日 2:29