コンテンツにスキップ

無線LANアクセス-クライアント証明書認証

目的

  • SingleIDのユーザで、YAMAHA WLXの無線LANアクセスポイントへアクセスします。
  • 接続する際の認証方式は、クライアント証明書認証(EAP-TLS)です。
  • SingleIDの拡張RADIUSサーバを利用します。
  • ユーザ/グループによるアクセス制限をします。

設定方法

SingleIDのグループの作成

  1. SingleID 管理者ポータル>グループ画面へ移動します。
  2. グループ追加をクリックします。グループ追加画面がポップアップします。
  3. グループ名を入力し、登録ボタンをクリックします。

SingleIDのユーザの作成

  1. SingleID 管理者ポータル>ユーザ画面へ移動します。
  2. 登録ボタンをクリックします。ユーザ登録画面がポップアップします。
  3. ユーザ登録画面の基本情報を入力します。グループタブをクリックします。
  4. メンバーとなるグループを選択し、登録ボタンをクリックします。

SingleIDのクライアント証明書の発行

  1. SingleID 管理者ポータル>ユーザ画面へ移動します。
  2. クライアント証明書を発行したいユーザの行にあるチェックボックスを選択します。
  3. 選択実行ボタンの▼をクリックし、プルダウンメニューの証明書の発行を選択します。
  4. 証明書発行画面がポップアップします。
  5. プロファイル(例:デフォルト)および配布形式(例:一般)を選択します。
  6. 発行ボタンをクリックして、クライアント証明書を発行します。ユーザのメールアドレス宛に発行されたクライアント証明書のダウンロードリンクが送信されます。

SingleIDの拡張RADIUSサーバの登録

  1. SingleID 管理者ポータル>認証>RADIUS>基本設定画面へ移動します。
  2. 拡張RADIUSサーバ>RADIUSポート番号登録ボタンをクリックします。拡張RADIUSサーバの登録画面がポップアップします。

    設定項目 設定内容
    使用するプロトコル UDP
    シークレット 任意の文字列を設定します。英大文字、英小文字、数字、記号を組み合わせて、最低でも14文字以上の複雑な文字列を設定することをお勧めします。
  3. 登録ボタンをクリックします。

YAMAHA WLXの設定

  1. YAMAHA WLX GUI>無線設定>SSID管理画面へ移動します。
  2. 追加ボタンをクリックします。VAP設定画面を表示します。
  3. 以下を設定します。

    設定項目 設定内容
    SSID 任意のSSIDを入力します。
    認証方式 WPA2-EAP
    暗号化方式 AES
    プライマリRADIUSサーバー 外部のRADIUSサーバーを使用する
    IPアドレスは、SingleID 管理者ポータル>認証>RADIUS>基本情報画面の拡張RADIUSサーバ>IPアドレスプライマリです。
    プライマリRADIUポート番号 SingleID 管理者ポータル>認証>RADIUS>基本情報画面の拡張RADIUSサーバ>RADIUSポート番号のポート番号です。
    プライマリRADIUSシークレット SingleIDの拡張RADIUSサーバの登録の手順2のシークレットに設定した文字列です。
    セカンダリRADIUSサーバー 外部のRADIUSサーバーを使用する
    IPアドレスは、SingleID 管理者ポータル>認証>RADIUS>基本情報画面の拡張RADIUSサーバ>IPアドレスセカンダリです。
    セカンダリRADIUポート番号 プライマリRADIUポート番号に設定したポート番号と同じです。
    セカンダリRADIUSシークレット プライマリRADIUSシークレットに設定した文字列と同じです。
  4. 設定ボタンをクリックします。

サイト識別する属性の確認方法

YAMAHA WLXが送信するNAS-IP-Address属性およびNAS-Identifier属性の属性値を確認します。

  1. 動作確認方法に従って、認証を試みます。
  2. 認証が失敗します。
  3. SingleID 管理者ポータル>ログ>RADIUS認証ログ画面へ移動します。
  4. 認証失敗したログのNAS-IPまたはNAS-IDの項目を確認します。NAS-IPが、NAS-IP-Address属性の属性値です。NAS-IDが、NAS-Identifier属性の属性値です。

SingleIDのRADIUSサイトの登録

  1. SingleID 管理者ポータル>認証>RADIUS>簡易設定画面へ移動します。
  2. カタログ表示ボタンをクリックします。
  3. カタログからYAMAHA WLXシリーズ登録ボタンをクリックします。YAMAHA WLXシリーズ画面がポップアップします。
  4. 基本情報タブに、以下を設定します。

    設定項目 設定内容
    有効/無効 有効
    サーバ 拡張
    サーバ番号 SingleIDの拡張RADIUSサーバの登録で登録したサーバ番号を選択します。
    サイト識別する属性 サイト識別する属性の確認方法で確認できた属性を選択します。
    属性値 サイト識別する属性の確認方法で確認できた属性の属性値を設定します。
  5. 無線アクセスの認証タブへ移動します。

  6. 許可したいユーザおよび許可したいグループをダブルクリックし、許可へ移動させます。

    Info

    • 証明書認証(EAP-TLS)のみ許可有効にすると、クライアント証明書認証以外の認証方式のアクセスを拒否します。
    • 接続可能なSSIDを制限したい場合には、SSID入力欄に、接続を許可したいSSIDを入力します。
  7. 登録ボタンをクリックします。

動作確認方法

無線LANアクセスの認証(EAP-TLS方式のクライアント証明書認証)

クライアント証明書のダウンロード

  1. SingleIDシステム管理から届いたメールを開きます。
  2. ダウンロードリンクをクリックします。P12形式のクライアント証明書がダウンロードされます。 Screenshot

Info

もし、PCでメールを受信し、スマートフォンやタブレットにクライアント証明書をインストールしたい場合には、メールに添付されているQRコードを スマートフォンやタブレットで読み取ります。クライアント証明書のダウンロードURLを認識しますので、そのURLへアクセスすることで、 スマートフォンやタブレット にもクライアント証明書をダウンロードできます。

クライアント証明書のインストール

  1. ダウンロードしたP12形式のクライアント証明書ファイルをダブルクリックします。
  2. 保存場所として現在のユーザーを選択し、次へボタンをクリックします。

    Screenshot

  3. ダウンロードしたP12形式のファイル名とパスが正しく入力されていることを確認し、次へボタンをクリックします。

    Screenshot

  4. パスワードに、クライアント証明書のパスワードを入力します。クライアント証明書のパスワードは、ユーザ名と同一です。(例:ユーザ名が、user1 の場合、証明書のパスワードは user1 です。)次へボタンをクリックします。

    Screenshot

  5. 証明書の種類に基づいて、自動に証明書ストアを選択するが選択されていることを確認し、次へボタンをクリックします。

    Screenshot

  6. 完了ボタンをクリックし、証明書をインストールします。

    Screenshot

  7. クライアント証明書のインストールが成功しました。

    Screenshot

Windows 10/11 の場合

  1. 無線LANアクセスポイントのSSIDを選択し、接続ボタンをクリックします。

    Screenshot

  2. 証明書を使って接続するをクリックします。

    Screenshot

  3. 認証で使用するクライアント証明書を選択し、OKボタンをクリックします。

    Screenshot

  4. 接続先が正しいかどうかの確認を要求されます。証明書の詳しい内容の表示でRADIUSサーバのサーバ証明書の情報が表示されますので、接続先の確認を行います。接続先が正しければ、接続ボタンをクリックします。

    項目 内容
    発行先 SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブのホスト名です。
    発行元 R3

    Screenshot

  5. 接続成功したことを確認します。

    Screenshot