無線LANアクセス-クライアント証明書認証
文書更新日:2025-04-14
目的
- SingleIDのユーザで、アライドテレシス 無線LANアクセスポイント(AT-TQおよびAT-TQmシリーズ)へアクセスします。
- 接続する際の認証方式は、クライアント証明書認証(EAP-TLS)です。
- SingleIDの拡張RADIUSサーバを利用します。
- ユーザ/グループによるアクセス制限をします。
設定方法
SingleIDのグループの作成
- SingleID 管理者ポータル>グループ画面へ移動します。
- グループ追加をクリックします。グループ追加画面がポップアップします。
- グループ名を入力し、登録ボタンをクリックします。
SingleIDのユーザの作成
- SingleID 管理者ポータル>ユーザ画面へ移動します。
- 登録ボタンをクリックします。ユーザ登録画面がポップアップします。
- ユーザ登録画面の基本情報を入力します。グループタブをクリックします。
- メンバーとなるグループを選択し、登録ボタンをクリックします。
SingleIDのクライアント証明書の発行
- SingleID 管理者ポータル>ユーザタブへ移動します。
- クライアント証明書を発行したいユーザの行にあるチェックボックスを選択します。
- 選択実行ボタンの▼をクリックし、プルダウンメニューの証明書の発行を選択します。
- 証明書発行画面がポップアップします。
- プロファイル(例:デフォルト)および配布形式(例:一般)を選択します。
- 発行ボタンをクリックして、クライアント証明書を発行します。ユーザのメールアドレス宛に発行されたクライアント証明書のダウンロードリンクが送信されます。
SingleIDの拡張RADIUSサーバの登録
- SingleID 管理者ポータル>認証>RADIUS>基本設定タブへ移動します。
-
拡張RADIUSサーバ>RADIUSポート番号の登録ボタンをクリックします。拡張RADIUSサーバの登録画面がポップアップします。
設定項目 設定内容 使用するプロトコル UDPを選択します。 シークレット 任意の文字列を設定します。英大文字、英小文字、数字、記号を組み合わせて、最低でも14文字以上の複雑な文字列を設定することをお勧めします。 -
登録ボタンをクリックします。専用のRADIUSポート番号が割り当てれます。
アライドテレシス 無線LANアクセスポイントの設定
- アライドテレシス 無線LANアクセスポイント GUI>設定>システム>通信タブへ移動します。
-
以下を設定し、保存&適用ボタンをクリックします。
設定項目 設定内容 IPアドレスの取得 機器のIPアドレスを設定します。 スタティックIPアドレス 機器本体のIPアドレスを設定します。 ネットマスク 機器本体のIPアドレスのネットマスク設定します。 デフォルトゲートウェイ 機器本体のデフォルトゲートウェイを設定します。 -
機器本体のIPアドレスが変更されたのでGUIへ再ログインします。
- アライドテレシス 無線LANアクセスポイント GUI>設定>無線LAN>無線1>基本設定タブへ移動します。
-
以下を設定し、保存&適用ボタンをクリックします。
設定項目 設定内容 ステータス 有効を選択します。 -
アライドテレシス 無線LANアクセスポイント GUI>設定>VAP/セキュリティー>無線1>VAP0/バーチャルアクセスポイントタブへ移動します。
-
以下を設定し、一時保存ボタンをクリックします。
設定項目 設定内容 ステータス 有効を選択します。 モード アクセスポイントを選択します。 SSID 任意のSSIDを入力します。 -
アライドテレシス 無線LANアクセスポイント GUI>設定>VAP/セキュリティー>無線1>VAP0/セキュリティータブへ移動します。
-
以下を設定し、保存&適用ボタンをクリックします。
設定項目 設定内容 モード WPAエンタープライズを選択します。 WPAバージョン WPA2 and WPA3を選択します。 セッションキー更新間隔 任意の秒数を設定します。(例: 86400)
SingleIDのクラウドRADIUSは、Session-Timeout属性をサポートしていないため、無線LANアクセスポイントの再認証間隔を設定することを推奨します。セッションキー更新時の動作 再認証を選択します。 RADIUS IP SingleID 管理者ポータル>認証>RADIUS>基本情報タブの拡張RADIUSサーバ>IPアドレスのプライマリです。 RADIUSキー SingleIDの拡張RADIUSサーバの登録の手順のシークレットに設定した文字列です。 セカンダリーRADIUS IP SingleID 管理者ポータル>認証>RADIUS>基本情報タブの拡張RADIUSサーバ>IPアドレスのセカンダリです。 セカンダリーRADIUSキー プライマリRADIUSシークレットに設定した文字列と同じです。 RADIUSポート SingleID 管理者ポータル>認証>RADIUS>基本情報タブの拡張RADIUSサーバ>RADIUSポート番号のポート番号です。
SingleIDのRADIUSサイトの登録
- SingleID 管理者ポータル>認証>RADIUS>簡易設定タブへ移動します。
- カタログ表示ボタンをクリックします。
- カタログからアライドテレシス 無線LANアクセスポイントの登録ボタンをクリックします。アライドテレシス 無線LANアクセスポイント画面がポップアップします。
-
基本情報タブに、以下を設定します。
設定項目 設定内容 有効/無効 有効を選択します。 サーバ 拡張を選択します。 サーバ番号 SingleIDの拡張RADIUSサーバの登録の手順で登録したサーバ番号を選択します。 サイト識別する属性 NAS-IP-Addressを選択します。 属性値 アライドテレシス 無線LANアクセスポイントの設定の手順のスタティックIPアドレスの項目で設定したIPアドレスを設定します。 Info
アライドテレシス 無線LANアクセスポイント(AT-TQおよびAT-TQmシリーズ)は、NAS-Identifier属性を送信しません。そのため、サイト識別する属性として、NAS-IP-Address属性を使用します。
-
無線アクセスの認証タブへ移動します。
-
許可したいユーザおよび許可したいグループをダブルクリックし、許可へ移動させます。
Info
- 証明書認証(EAP-TLS)のみ許可を有効にすると、クライアント証明書認証以外の認証方式のアクセスを拒否します。
- 認証したユーザおよびグループにVLAN IDを割り当てたい場合には、VLAN ID入力欄に、割り当てたいVLAN IDを入力します。
-
登録ボタンをクリックします。
動作確認方法
Windows端末からEAP-TLS(クライアント証明書認証)で無線LANアクセスの認証が可能なことを確認します。
クライアント証明書のダウンロード
- SingleIDシステム管理から届いたメールを開きます。
-
ダウンロードリンクをクリックします。P12形式のクライアント証明書がダウンロードされます。
Info
もし、PCでメールを受信し、スマートフォンやタブレットにクライアント証明書をインストールしたい場合には、メールに添付されているQRコードを スマートフォンやタブレットで読み取ります。クライアント証明書のダウンロードURLを認識しますので、そのURLへアクセスすることで、 スマートフォンやタブレット にもクライアント証明書をダウンロードできます。
クライアント証明書のインストール
- ダウンロードしたP12形式のクライアント証明書ファイルをダブルクリックします。
-
保存場所として現在のユーザーを選択し、次へボタンをクリックします。
-
ダウンロードしたP12形式のファイル名とパスが正しく入力されていることを確認し、次へボタンをクリックします。
-
パスワードに、クライアント証明書のパスワードを入力します。クライアント証明書のパスワードは、ユーザ名と同一です。(例:ユーザ名が、user1の場合、クライアント証明書のパスワードは、user1です。)次へボタンをクリックします。
-
証明書の種類に基づいて、自動に証明書ストアを選択するが選択されていることを確認し、次へボタンをクリックします。
-
完了ボタンをクリックし、証明書をインストールします。
-
クライアント証明書のインストールが成功しました。
無線APへ接続
-
無線LANアクセスポイントのSSIDを選択し、接続ボタンをクリックします。
-
証明書を使って接続するをクリックします。
-
認証で使用するクライアント証明書を選択し、OKボタンをクリックします。
-
接続先が正しいかどうかの確認を要求されます。証明書の詳しい内容の表示でRADIUSサーバのサーバ証明書の情報が表示されますので、接続先の確認を行います。接続先が正しければ、接続ボタンをクリックします。
項目 内容 発行先 SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブのホスト名です。 発行元 R3 
-
接続成功したことを確認します。
