お世話になっております。
ADCS+NPSを用いた、RADIUS認証(EAP-TLS認証)及び失効証明書(CRL)の冗長化について確認させてください。
※ポイントとしては本構成がマイクロソフト社にてサポートされているかという点になります。
今回構成としてはサーバ2台構成となります。
#1 ルート証明局(ルートCA)兼NPSサーバ
#2 中間証明局(下位CA)兼NPSサーバ
①RADIUSの冗長化
1.下位CAにて各サーバ向けにサーバ証明書を発行しそれぞれインストール(ルート証明書、下位CA証明書はインストール済み)
2.各サーバにてEAP-TLS認証用の設定を実施
3.下位CAにてクライアント証明書を発行し、クライアントにインストール
4.クライアントからスイッチ経由で各サーバにRADIUS認証を実施、認証が成功したことを確認。
②CRLの冗長化
1.CRLは下位CAにて発行しているクライアント証明書の失効を確認したい
2.通常CRLの配布ポイントは自身のIISの保存先が指定されるが、冗長化のためルートCAのCRL配布ポイントを追加する。
http://ルートCA_IPアドレス/CertEnroll/<CaName><CRLNameSuffix><DeltaCRL...
3.これにより、クライアント証明書のCRL配布ポイントが下位CAとルートCAサーバとなるため冗長化を実現できる
本構成を含め、WindowsServer単体で、RADIUS認証及びCRLの冗長化は
サポートされている構成でしょうか。もしくは単体ならサポートされるものでしょうか。
よろしくお願いいたします。
