無線LANアクセス-クライアント証明書認証

文書更新日:2025-04-14

目的

• SingleIDのユーザで、アライドテレシス 無線LANアクセスポイント（AT-TQおよびAT-TQmシリーズ）へアクセスします。
• 接続する際の認証方式は、クライアント証明書認証（EAP-TLS）です。
• SingleIDの標準RADIUSサーバを利用します。
• ユーザ/グループによるアクセス制限をします。

設定方法

SingleIDのグループの作成

1. SingleID 管理者ポータル＞グループ画面へ移動します。
2. グループ追加をクリックします。グループ追加画面がポップアップします。
3. グループ名を入力し、登録ボタンをクリックします。

SingleIDのユーザの作成

1. SingleID 管理者ポータル＞ユーザ画面へ移動します。
2. 登録ボタンをクリックします。ユーザ登録画面がポップアップします。
3. ユーザ登録画面の基本情報を入力します。グループタブをクリックします。
4. メンバーとなるグループを選択し、登録ボタンをクリックします。

SingleIDのクライアント証明書の発行

1. SingleID 管理者ポータル＞ユーザタブへ移動します。
2. クライアント証明書を発行したいユーザの行にあるチェックボックスを選択します。
3. 選択実行ボタンの▼をクリックし、プルダウンメニューの証明書の発行を選択します。
4. 証明書発行画面がポップアップします。
5. プロファイル（例：デフォルト）および配布形式（例：一般）を選択します。
6. 発行ボタンをクリックして、クライアント証明書を発行します。ユーザのメールアドレス宛に発行されたクライアント証明書のダウンロードリンクが送信されます。

SingleIDのRADIUSサイトの登録

1. SingleID 管理者ポータル＞認証＞RADIUS＞簡易設定タブへ移動します。
2. カタログ表示ボタンをクリックします。
3. カタログからアライドテレシス 無線LANアクセスポイントの登録ボタンをクリックします。アライドテレシス 無線LANアクセスポイント画面がポップアップします。

4. 基本情報タブに、以下を設定します。

   設定項目	設定内容
   有効/無効	有効を選択します。
   サーバ	標準を選択します。
   サーバ番号	適切なサーバ番号を選択します。選択するサーバの番号により、RADIUSサーバのポート番号が異なります。SingleID 管理者ポータル＞認証＞RADIUS＞基本情報タブの標準RADIUSサーバ＞RADIUSポート番号にサーバの番号と通信ポート番号の対応が記載されています。
   IP or ホスト名	無線LANアクセスポイント側のグローバルIPアドレスです。インターネットに出ていくときの送信元のIPアドレスです。
   シークレット	任意の文字列を設定します。英大文字、英小文字、数字、記号を組み合わせて、最低でも14文字以上の複雑な文字列を設定することをお勧めします。

5. 無線アクセスの認証タブへ移動します。

6. 許可したいユーザおよび許可したいグループをダブルクリックし、許可へ移動させます。

   Info

   • 証明書認証（EAP-TLS）のみ許可を有効にすると、クライアント証明書認証以外の認証方式のアクセスを拒否します。
   • 認証したユーザおよびグループにVLAN IDを割り当てたい場合には、VLAN ID入力欄に、割り当てたいVLAN IDを入力します。

7. 登録ボタンをクリックします。

アライドテレシス 無線LANアクセスポイントの設定

1. アライドテレシス 無線LANアクセスポイント GUI＞設定＞無線LAN＞無線1＞基本設定タブへ移動します。

2. 以下を設定し、保存&適用ボタンをクリックします。

   設定項目	設定内容
   ステータス	有効を選択します。

3. アライドテレシス 無線LANアクセスポイント GUI＞設定＞VAP/セキュリティー＞無線1＞VAP0/バーチャルアクセスポイントタブへ移動します。

4. 以下を設定し、一時保存ボタンをクリックします。

   設定項目	設定内容
   ステータス	有効を選択します。
   モード	アクセスポイントを選択します。
   SSID	任意のSSIDを入力します。

5. アライドテレシス 無線LANアクセスポイント GUI＞設定＞VAP/セキュリティー＞無線1＞VAP0/セキュリティータブへ移動します。

6. 以下を設定し、保存&適用ボタンをクリックします。

   設定項目	設定内容
   モード	WPAエンタープライズを選択します。
   WPAバージョン	WPA2 and WPA3を選択します。
   セッションキー更新間隔	任意の秒数を設定します。（例: 86400） SingleIDのクラウドRADIUSは、Session-Timeout属性をサポートしていないため、無線LANアクセスポイントの再認証間隔を設定することを推奨します。
   セッションキー更新時の動作	再認証を選択します。
   RADIUS IP	SingleID 管理者ポータル＞認証＞RADIUS＞基本情報タブの標準RADIUSサーバ＞IPアドレスのプライマリです。
   RADIUSキー	プライマリRADIUSシークレット
   セカンダリーRADIUS IP	SingleID 管理者ポータル＞認証＞RADIUS＞基本情報タブの標準RADIUSサーバ＞IPアドレスのセカンダリです。
   セカンダリーRADIUSキー	プライマリRADIUSシークレットに設定した文字列と同じです。
   RADIUSポート	SingleIDのRADIUSサイトの登録の手順のサーバ番号に対応したポート番号です。

動作確認方法

Windows端末からEAP-TLS（クライアント証明書認証）で無線LANアクセスの認証が可能なことを確認します。

クライアント証明書のダウンロード

1. SingleIDシステム管理から届いたメールを開きます。

2. ダウンロードリンクをクリックします。P12形式のクライアント証明書がダウンロードされます。

   

Info

もし、PCでメールを受信し、スマートフォンやタブレットにクライアント証明書をインストールしたい場合には、メールに添付されているQRコードを スマートフォンやタブレットで読み取ります。クライアント証明書のダウンロードURLを認識しますので、そのURLへアクセスすることで、 スマートフォンやタブレット にもクライアント証明書をダウンロードできます。

クライアント証明書のインストール

1. ダウンロードしたP12形式のクライアント証明書ファイルをダブルクリックします。

2. 保存場所として現在のユーザーを選択し、次へボタンをクリックします。

   

3. ダウンロードしたP12形式のファイル名とパスが正しく入力されていることを確認し、次へボタンをクリックします。

   

4. パスワードに、クライアント証明書のパスワードを入力します。クライアント証明書のパスワードは、ユーザ名と同一です。（例：ユーザ名が、user1の場合、クライアント証明書のパスワードは、user1です。）次へボタンをクリックします。

   

5. 証明書の種類に基づいて、自動に証明書ストアを選択するが選択されていることを確認し、次へボタンをクリックします。

   

6. 完了ボタンをクリックし、証明書をインストールします。

   

7. クライアント証明書のインストールが成功しました。

   

無線APへ接続

1. 無線LANアクセスポイントのSSIDを選択し、接続ボタンをクリックします。

   

2. 証明書を使って接続するをクリックします。

   

3. 認証で使用するクライアント証明書を選択し、OKボタンをクリックします。

   

4. 接続先が正しいかどうかの確認を要求されます。証明書の詳しい内容の表示でRADIUSサーバのサーバ証明書の情報が表示されますので、接続先の確認を行います。接続先が正しければ、接続ボタンをクリックします。

   項目	内容
   発行先	SingleID 管理者ポータル＞認証＞RADIUS画面の基本情報タブのホスト名です。
   発行元	R3

   

5. 接続成功したことを確認します。