none
VPN接続で認証方法としてPEAP-EAP-TLSを選択するとエラーが発生する RRS feed

  • 質問


  • Windows7 での VPN接続の設定で、認証方法をPEAPのスマートカードまたはその他の証明書 (PEAP-EAP-TLS)にすると、
      「ダイアログを読み込めません。 エラー798: この拡張認証プロトコルで使用できる証明書が見つかりませんでした。」
    というエラーが、VPN接続を試みる前にでて接続できません。
    認証方法として、PEAPのセキュリティで保護されたパスワード (PEAP-EAP-MSCHAPv2)にすると接続できるのでクライアント側の
    証明書に問題があると思うのですが、なぜだめなのかがわからない状態です。

    VPNクライアント側のOSはWindows7で、コンピュータはドメインに参加しているコンピュータ、ただしユーザはドメインユーザではなく、コンピュータローカルの
    アカウントでログオンした状態からVPN接続を試みています。 ドメインのCAの証明書、そのCAが発行したワークステーション認証用のコンピュータ
    証明書はVPNクライアントのコンピュータにインストールされています。

    対処方法がわかる方がいらっしゃいましたら、ご教授いただけると幸いです。
    2010年2月28日 13:05

すべての返信

  • 阿部です。

    スマートカード認証を行う場合には、証明書をスマートカードに登録する必要があります。

    ユーザー ログオン用のスマート カードを設定する
    http://technet.microsoft.com/ja-jp/library/cc775842(WS.10).aspx

    スマートカード認証でない場合も含めてプロファイルが異なるために証明書が見つからないのが原因だと考えられますね

    PEAP-EAP-TLSを使用する際にはクライアント側には以下の証明書が必要です

    ユーザー証明書
    コンピューター証明書
    証明書が発行されたCAのデジタル証明書

    コンピューター証明書はローカルコンピューターに入っていれば複数ユーザーで使用できますが、ユーザー証明書は各ユーザー毎に必要です。ユーザー証明書はユーザーのプロファイルに格納されています。

    試しに、ドメインへのキャッシュログオンを証明書が発行されている当該ユーザーで行ってからVPN接続してみてはいかがでしょうか?

    2010年3月2日 4:28
    モデレータ
  • 返信ありがとうございます。

    http://technet.microsoft.com/ja-jp/library/cc772401(WS.10).aspx
    の"必要な証明書"の項目の記事を読んで、クライアントのコンピュータ証明書があればユーザーの証明書は不要と理解したのですが
    この解釈が誤りということなのでしょうか?
    2010年3月2日 15:33
  • 阿部です

    当該URLを参照しましたが、これは紛らわしい書き方ですね

    スマート カード上のユーザー証明書:
    いいえ。この証明書は、クライアント コンピュータ証明書の自動登録ではなくスマート カードの展開を選択した場合にのみ必要です

    これを見て判断したんだと思いますが・・・

    詳細部分に
    EAP-TLS および PEAP-TLS では、クライアント コンピュータ証明書を自動登録しない場合、スマート カード上にユーザー証明書が必要です

    とありますよね

    自動登録とはGPOを使用した配布になります。
    2010年3月2日 22:43
    モデレータ
  • 最初にご教示いただいたように、ユーザー証明書も結局必要で、クライアントコンピューター証明書、CAの証明書の3つが必要
    というわけですね。でもスマートカードは必須でないという理解であっているでしょうか? それともユーザー証明書は必ずスマートカードに存在しないといけないのでしょうか?

    コンピュータローカルのアカウントでログインした状態で、ドメインユーザのアカウントのユーザー証明書(秘密鍵つき)をインストールしてVPN接続をこころみましたが、やはり同じエラーがでてだめでした。ドメインユーザではまだためせていません。

    2010年3月4日 14:16
  • 私が以前検証した時は、スマートカードなしで行いましたので、スマートカード必須ではありません。

    ただし、PEAP-EAP-TLSはスマートカードの利用が多い(というかほとんど?)ようです。
    2010年3月4日 22:24
    モデレータ
  • 阿部様

    ドメインアカウントでログオンした状態でVPN接続を試したのですが、症状は変わりませんでした。

    証明書ストアの状態は

      - 現在のユーザ 、 個人 の配下 ----  ユーザー証明書テンプレートをもとに作られた証明書
       - 現在のユーザ 、 信頼されたルート証明機関 の配下  -- ADのCA証明書
       - ローカルコンピュータ、個人の配下 ---  コンピュータ証明書テンプレートをもとに作られた証明書とワークステーション認証をもとに作られた証明書
       - ローカルコンピュータ、信頼されたルート証明機関の配下 --- ADのCA証明書

    となっています。

    特に問題ないと考えているのですが、問題ありますでしょうか?
    2010年3月6日 10:08
  • 阿部です

    基本的にあっていると思われます。

    PEAP-EAP-MSCHAPv2は問題なしということなので、やはり証明書がおかしいですよね

    試しに別のPCに対して新しいユーザー証明書およびコンピューター証明書を発行して試してみるのもいいかもしれませんね。

    それでもダメなら残念ながら、今のところ私が思いつくことはありません。
    2010年3月8日 0:50
    モデレータ
  • 阿部様

    別のコンピュータ(ドメイン参加PC/コンピュータローカルアカウントでログオン)でも試したことはあるのですが、全く同じ現象でした。

    正直バグなのかとも思ったりしましたが、阿部様で検証した動作した実績があるということは何か環境が悪いのでしょうね....
    2010年3月8日 12:44
  • 阿部です

    Windows Server 2003 と Windows XPの組み合わせで検証を行ったことがあるので、正確にいうと上記環境と同じではないので何とも言えないのが正直なところです。

    この環境で検証できればいいのですがなかなか時間が取れないのでできていません。

    参考にならず申し訳ありません。

    2010年3月9日 2:05
    モデレータ