無線LANアクセス-クライアント証明書認証

文書更新日:2025-06-08

目的

• SingleIDのユーザで、H3C 無線LANアクセスポイントへアクセスします。
• 接続する際の認証方式は、クライアント証明書認証（EAP-TLS）です。
• SingleIDの標準RADIUSサーバを利用します。
• ユーザ/グループによるアクセス制限をします。

設定方法

SingleIDのグループの作成

1. SingleID 管理者ポータル＞グループ画面へ移動します。
2. グループ追加をクリックします。グループ追加画面がポップアップします。
3. グループ名を入力し、登録ボタンをクリックします。

SingleIDのユーザの作成

1. SingleID 管理者ポータル＞ユーザ画面へ移動します。
2. 登録ボタンをクリックします。ユーザ登録画面がポップアップします。
3. ユーザ登録画面の基本情報を入力します。グループタブをクリックします。
4. メンバーとなるグループを選択し、登録ボタンをクリックします。

SingleIDのクライアント証明書の発行

1. SingleID 管理者ポータル＞ユーザ画面へ移動します。
2. クライアント証明書を発行したいユーザの行にあるチェックボックスを選択します。
3. 選択実行ボタンの▼をクリックし、プルダウンメニューの証明書の発行を選択します。
4. 証明書発行画面がポップアップします。
5. プロファイル（例：デフォルト）および配布形式（例：一般）を選択します。
6. 発行ボタンをクリックして、クライアント証明書を発行します。ユーザのメールアドレス宛に発行されたクライアント証明書のダウンロードリンクが送信されます。

SingleIDのRADIUSサイトの登録

1. SingleID 管理者ポータル＞認証＞RADIUS＞簡易設定タブへ移動します。
2. カタログ表示ボタンをクリックします。
3. カタログからH3C 無線LANアクセスポイントの登録ボタンをクリックします。H3C 無線LANアクセスポイント画面がポップアップします。

4. 基本情報タブに、以下を設定します。

   設定項目	設定内容
   有効/無効	有効を選択します。
   サーバ	標準を選択します。
   サーバ番号	適切なサーバ番号を選択します。選択するサーバの番号により、RADIUSサーバのポート番号が異なります。SingleID 管理者ポータル＞認証＞RADIUS＞基本情報タブの標準RADIUSサーバ＞RADIUSポート番号にサーバの番号と通信ポート番号の対応が記載されています。
   IP or ホスト名	H3C 無線LANアクセスポイント側のグローバルIPアドレスです。インターネットに出ていくときの送信元のIPアドレスです。グローバルIPアドレスが、動的の場合には、DDNS（ダイナミックDNS）を利用してホスト名（FQDN）を設定します。 注意: グローバルIPアドレスにIPv4の共用IPアドレスが使用されるインターネット接続サービス（IPv6インターネット接続、マンションタイプのインターネット接続、CATVインターネット、モバイルインターネット）の場合には、拡張RADIUSサーバの利用を検討してください。
   シークレット	任意の文字列を設定します。英大文字、英小文字、数字、記号を組み合わせて、最低でも14文字以上の複雑な文字列を設定することをお勧めします。

5. 無線アクセスの認証タブへ移動します。

6. 許可したいユーザおよび許可したいグループをダブルクリックし、許可へ移動させます。

   Info

   • 証明書認証（EAP-TLS）のみ許可を有効にすると、クライアント証明書認証以外の認証方式のアクセスを拒否します。
   • 接続可能なSSIDを制限したい場合には、SSID入力欄に、接続を許可したいSSIDを入力します。

7. 登録ボタンをクリックします。

H3C 無線LANアクセスポイントの設定

RADIUS Schemeの登録

1. 機器のウェブ管理画面へログインします。
2. Authentication＞AAA Settings＞RADIUS Settings画面へ移動します。

3. ＋Addボタンをクリックし、新しいRADIUS Schemeを追加します。以下を設定します。

   設定項目	設定内容
   RADIUS Scheme	任意の文字列を設定します。（例: singleid_radius）
   Address	SingleID 管理者ポータル＞認証＞RADIUS＞基本情報画面の標準RADIUSサーバ＞IPアドレスのプライマリです。
   Port	SingleIDのRADIUSサイトの登録の手順のサーバ番号に対応したポート番号です。
   Shared Key	SingleIDのRADIUSサイトの登録の手順のシークレットに設定した文字列です。

4. Submitボタンをクリックします。

5. 追加したRADIUS Schemeの編集アイコンをクリックします。Secondary Authentication Serverセクションの ＋Addボタンをクリックします。以下を設定します。

   設定項目	設定内容
   Address	SingleID 管理者ポータル＞認証＞RADIUS＞基本情報画面の標準RADIUSサーバ＞IPアドレスのセカンダリです。
   Port	SingleIDのRADIUSサイトの登録の手順のサーバ番号に対応したポート番号です。
   Shared Key	SingleIDのRADIUSサイトの登録の手順のシークレットに設定した文字列です。
   Status	Onを選択します。

6. Submitボタンをクリックします。

7. Advanced Configurationセクションに以下を設定します。

   設定項目	設定内容
   Format for Usernames Sent to RADIUS Server	Based on User Inputを選択します。
   Server Response Timeout Timer	デフォルト値の3秒では、インターネットの混雑次第ではタイムアウトする恐れがあります。タイムアウト値を長く設定することをお勧めします。(例: 10)

8. Submitボタンをクリックします。

ISP Domainの登録

機器のウェブ管理画面から設定します。

1. Authentication＞AAA Settings＞ISP Domains画面へ移動します。

2. ＋Addボタンをクリックし、新しいDomainを追加します。以下を設定します。

   設定項目	設定内容
   ISP Domain Name	自社のドメイン名を設定します。（例: example.com）
   ISP Domain State	Activeを選択します。
   User Access Methods
   Authentication Scheme	Main SchemeにRADIUS Schemeを選択します。Scheme Nameに先ほど登録したRADIUS Schemeを選択します。（例: singleid_radius）
   Authorization Scheme	Main SchemeにRADIUS Schemeを選択します。Scheme Nameに先ほど登録したRADIUS Schemeを選択します。（例: singleid_radius）

3. Submitボタンをクリックします。

Wireless serviceの設定（WPA2エンタープライズの場合）

機器のウェブ管理画面から設定します。

1. Wireless Services＞Wireless Service画面へ移動します。

2. ＋Addボタンをクリックし、新しいWireless serviceを追加します。以下を設定します。

   • Clone Service画面

   Skipボタンをクリックします。

   • Create Service画面

   以下を設定します。

   設定項目	設定内容
   Wireless service name	任意の文字列を設定します。（例: h3c）
   SSID	任意の文字列を設定します。（例: h3c）
   Status	Onを選択します。
   Forwarding Mode	Centralized Forwardingを選択します。

   Nextボタンをクリックします。

   • AuthN & Encryption画面

   Enterpriseを選択します。以下を設定します。

   設定項目	設定内容
   Security Mechanism	802.1Xを選択します。
   Identity authentication	802.1X Auth(Encrypted)を選択します。
   Encryption Mode	WPA2を選択します。
   ISP Domain	先ほど登録したISP Domainを選択します。（例: example.com）

   Nextボタンをクリックします。

   • Bind AP Group画面

   +Addボタンをクリックします。以下を設定します。

   設定項目	設定内容
   AP Group Name	APグループを選択します。（例: default-group）
   Radio	SSIDに関連付ける周波数帯を選択します。

   ActionsのOKボタンをクリックします。

3. Submitボタンをクリックします。

Wireless serviceの設定（WPA2/WPA3エンタープライズの場合）

機器のCLIから設定します。

1. Wireless serviceを登録します。

   system-view
   wlan service-template h3c <= 任意の文字列を設定します。（例: h3c）
   ssid h3c <= 任意の文字列を設定します。（例: h3c）
   akm mode dot1x
   cipher-suite ccmp
   security-ie rsn
   wpa3 enterprise-transition-mode <= WPA2/WPA3エンタープライズ（下位互換性を考慮し、推奨）
   client-security authentication-mode dot1x
   dot1x domain example.com <= 先ほど登録した**ISP Domain**を選択します。（例: example.com）
   bss transition-management enable
   service-template enable
   exit
   

2. APグループ（例: default-group）の周波数帯域にWireless serviceを関連付けます。

   system-view
   wlan ap-group default-group
   radio 2.4
   service-template h3c-wpa3
   exit
   radio 5g
   service-template h3c-wpa3
   exit
   exit
   

3. 設定を保存します。

   save force
   

動作確認方法

以下を参考にクライアントを設定して動作確認します。

クライアント接続設定