locked
PEAP利用時のサーバ証明書の検証について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    windows7の802.1X環境での接続プロパティについて質問させていただきたく投稿しました。

    「保護されたEAPのプロパティ」にて、「サーバの証明書を検証する」という

    チェックボックスがありますが、これを外すと、下記いずれになるのでしょうか。

    ・サーバ証明書は必要だが、正当性のチェックは行わない

    ・サーバ証明書自体が不要

     

    以上、何卒よろしくお願い申し上げます。

    2011年11月9日 14:38

回答

  • Question
    サインインして投票
    0
    サインインして投票

    これは検証していないのであくまでも予想ですが・・・

    「サーバの証明書を検証する」のチェックを外した場合は、その文言通りRADIUSであるNPSのコンピューター証明書のチェックを行わないということだと思います。よって、すべてのクライアントがチェックしないのであればNPSにコンピューター証明書がなくても動作すると思います。

    が、それではPEAPを使用する意味がないですね。

    私が考えるに、そのチェックの意図としては、クライアント側に信頼されたルート機関CAの証明書が必要になるので、内部CAなどを使用している際、クライアント側が入手できていない状態でも使えるようにするためのものではないかと思っています。

    ですので、RADIUSに対して証明書を発行したCAの公開鍵を含む証明書がクライアントにある状態が基本なので、通常はチェックしますね。

    PEAP の概要
    http://technet.microsoft.com/ja-jp/library/cc754179%28WS.10%29.aspx

    以上、参考になれば幸いです。

    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    • 回答としてマーク 田中夢 2011年11月17日 7:00
    2011年11月10日 4:00

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    これは検証していないのであくまでも予想ですが・・・

    「サーバの証明書を検証する」のチェックを外した場合は、その文言通りRADIUSであるNPSのコンピューター証明書のチェックを行わないということだと思います。よって、すべてのクライアントがチェックしないのであればNPSにコンピューター証明書がなくても動作すると思います。

    が、それではPEAPを使用する意味がないですね。

    私が考えるに、そのチェックの意図としては、クライアント側に信頼されたルート機関CAの証明書が必要になるので、内部CAなどを使用している際、クライアント側が入手できていない状態でも使えるようにするためのものではないかと思っています。

    ですので、RADIUSに対して証明書を発行したCAの公開鍵を含む証明書がクライアントにある状態が基本なので、通常はチェックしますね。

    PEAP の概要
    http://technet.microsoft.com/ja-jp/library/cc754179%28WS.10%29.aspx

    以上、参考になれば幸いです。

    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    • 回答としてマーク 田中夢 2011年11月17日 7:00
    2011年11月10日 4:00
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは。
    フォーラム オペレーターの田中夢です。
     
    ABE NAOKI さん
    いつも参考になるアドバイスをしていただき、ありがとうございます。
     
    saral1983 さん
    質問を投稿されてからしばらく経過しましたが、その後、ABE NAOKI さんの投稿をご覧になっていただけましたでしょうか?
     
    今回、ABE NAOKI さんの投稿が参考になったのではないかと思われますので、勝手ながら私のほうで [回答としてマーク] とさせていただきますね。
     
     
    また何かありましたら TechNet フォーラムをご利用くださいね。
    ---------------------------------------------------------------------
    日本マイクロソフト株式会社 フォーラム オペレーター 田中夢

    • 編集済み 田中夢 2011年11月17日 7:14
    2011年11月17日 7:00
  • Question
    サインインして投票
    0
    サインインして投票

    ABE NAOKIさん、ご回答いただきまして、ありがとうございました。ご返信が遅れましてすみませんでした。

    また、田中夢さんご対応ありがとうございました。

     

    確かに、ABEさんがおっしゃるようにPEAP導入という観点から考えると、チェックを入れるべきですね。

    運用面の観点から、考えてみたいと思います。ありがとうございました。

     

    2011年11月23日 12:46