EAP-TLSコンピュータ認証について

###前提・実現したいこと
ワークグループPCの無線LAN認証をEAP-TLSコンピュータ認証で行いたい。
現在Windows2012サーバ上にNPS、エンタープライズCA 、ADを構築し、
AD上でユーザーを作成し、クライアント認証の証明書を発行。
サプリカントの設定でユーザー認証時は証明書のユーザーで認証可能ですが、
コンピュータ認証に変更するとユーザーが見つからずNPSにて拒否されます。
ユーザーの認識が異なっているためと思いますが、上記構成で証明書発行方法や設定を変えることによりコンピュータ認証を行うことは可能でしょうか？

###発生している問題・エラーメッセージ

ネットワーク ポリシー サーバーがユーザーのアクセスを拒否しました。

詳細については、ネットワーク ポリシー サーバーの管理者に問い合わせてください。

ユーザー:
	セキュリティ ID:			NULL SID
	アカウント名:			host/user1
	アカウント ドメイン:			RADIUS-TEST
	完全修飾アカウント名:	RADIUS-TEST\host/user1

認証の詳細:
	接続要求ポリシー名:	ワイヤレス接続をセキュリティで保護する
	ネットワーク ポリシー名:		-
	認証プロバイダー:		Windows
	認証サーバー:		WIN.RADIUS-TEST.NET
	認証の種類:		EAP
	EAP の種類:			-
	アカウントのセッション ID:		32343044324446452D3030303030304446
	ログ結果:			アカウンティング情報はローカルのログ ファイルに書き込まれました。
	理由コード:			8
	理由:				指定したユーザー アカウントは存在しません。

###試したこと
ユーザー認証時は、以下のように認識され認証可能です。

ホストが定義済みの正常性ポリシーを満たしていたため、ネットワークポリシーサーバーはユーザーにフルアクセスを許可しました。

ユーザー:
セキュリティ ID: RADIUS-TEST\user1
アカウント名: user1@RADIUS-TEST.NET
アカウントドメイン: RADIUS-TEST
完全修飾アカウント名: RADIUS-TEST.NET/Users/user1

認証の詳細:
接続要求ポリシー名: ワイヤレス接続をセキュリティで保護する
ネットワークポリシー名: ワイヤレス接続をセキュリティで保護する
認証プロバイダー: Windows
認証サーバー: WIN.RADIUS-TEST.NET
認証の種類: EAP
EAP の種類: Microsoft: スマートカードまたはその他の証明書
アカウントのセッション ID: 32343044324446452D3030303030304442

検疫情報:
結果: フルアクセス
拡張結果: -
セッション ID: -
ヘルプ URL: -
システム正常性検証ツールの結果: -

###補足情報(言語/FW/ツール等のバージョンなど)
より詳細な情報

over

2017/09/26 05:36

クライアント証明書を作成されたとのことですが、こちらはADユーザオブジェクトに対してのクライアント証明書ですか?そうであればコンピュータに対しての証明書ではないので認証できなくて当然のような気がしますが・・・違うのでしょうか?

yama-o

2017/09/26 06:21

ご確認ありがとうございます。ADユーザオブジェクトに対してのクライアント証明です。ユーザー認証する場合は対象PCの証明書-現在のユーザーにインポートし、コンピュータ認証の場合は証明書(ローカルコンピュータ)にインポートしております。ワークグループPCのコンピュータに対しての証明書の発行方法が分かっておりません。

over

2017/09/26 06:39

ADから切り離された環境のデバイスではコンピュータに対してのクライアント証明書は自動発行してもらえず、証明要求→から証明書を発行するしかないと思います。環境が手元にないので想定回答となりますが、mmcスナップインで証明書スナップインを「コンピュータアカウント」で追加し、「証明書(ローカルコンピュータ)」のコンテキストメニュー「すべてのタスク」内に証明書要求のタスクがあれば、これを元に証明書が作成できるのかな?と思います。

行動規範の内容に同意します

回答1件

ベストアンサー

私も同じ問題が発生して解決したので昔の質問のようでしたが載せておきます。

１．certsrvでコンピュータテンプレートを指定して、名前にホスト名、属性にsan:dns=<FQDN>を書いて証明書を発行する。
２．ADにコンピュータアカウントを作成する。
３．作成したコンピュータアカウントのプロパティを開いて、オブジェクトタブをクリックしてオブジェクトの正規名をEAP-TLSの認証アカウント名に指定して認証する。

こちらはでは、３がミソでした。クライアントはLinuxです。
参考URL： https://service.snom.com/display/wiki/Port+Authentication+via+802.1x+-+EAP-TLS

投稿2019/09/13 04:05

soeno

総合スコア11

yama-o

2019/09/13 04:44

ご回答ありがとうございます。当時解決できなかったため、サードベンダーの証明機関を導入し認証を行っております。

soeno

2019/09/14 12:48

なるほど。クライアント証明書要件が足りなかったのですね。 https://support.microsoft.com/ja-jp/help/814394/certificate-requirements-when-you-use-eap-tls-or-peap-with-eap-tls おそらくSubjectAltName(SAN) DNSかと。証明書のSubjectはあまり関係ないようなので、SANですね。 certsrvの属性にSANを入れなくても、コンピュータ証明書のテンプレートにSAN DNSを入れるように変更して、名前にFQDNを書けばSANにその名前に書いたのが入ります。サードベンダーの証明機関はいらなかったかもしれません。

行動規範の内容に同意します