wp 8021x authentication 21may2012 - apple.com · • eap-sim（subscriber identity...

Appleテクニカルホワイトペーパー

802.1X認証OS X 10.7.3およびiOS 5.1

2012年6月5日

目次

802.1Xについて...................................................................................................................... 3

Apple製品の802.1Xとの互換性..................................................................................... 7

802.1X設定の構成................................................................................................................. 10

関連資料................................................................................................................................... 17

付録A：802.1X対応のペイロードの設定................................................................ 18

付録B：構成プロファイルのサンプル.................................................................... 25

付録C：Active Directory証明書の使用...................................................................... 32

802.1Xについてモバイル機器の普及とともに、多くの組織ではユーザとモバイルデバイスの両方について、パブリックネットワーク（保護されていない）とプライベートネットワーク（保護されている）の間のアクセスを安全に管理する必要性が高まっています。このような組織は、ユーザの識別と検証を行うとともに、保護されたリソースへのデバイスによるアクセスを制御する、強力で、しかも柔軟性の高いシステムを必要としています。

802.1X認証は、権限のないデバイスが有線またはワイヤレスによるLAN接続を介して保護されたネットワークにアクセスするのをポートレベルで防止することで、LANのセキュリティを強化します。また拡張可能なアーキテクチャを利用して、パスワード、RSAキー、トークンカード、証明書など多様な認証方法がサポートされています。

主要コンポーネント802.1Xは、次のコンポーネントで構成される統合システムを使用して、認証プロセスを管理します。

• サプリカント：保護されたネットワークにアクセスしようとするデバイス上で動作するソフトウェアまたはサービス。

• 認証装置：ワイヤレスアクセスポイントまたはスイッチ上で動作し、サプリカントと認証サーバの間の認証プロセスを管理するソフトウェアまたはサービス。

• 認証サーバ：認証装置に対して認証サービスを提供するソフトウェアまたはサービス。認証サーバは、サプリカントが提供する資格情報を使用して、認証サーバの保護するネットワークで提供されているサービスに、サプリカントによるアクセスを許可するかどうかを制御します。

• ポート：通常、ルーターまたはスイッチにあるアクセスポイントで、無許可または許可のいずれかのステートを持ちます。未認証のサプリカントデバイスは、まずパブリックネットワーク側の無許可ステートのポートに接続します。認証に成功すると、デバイスは許可ポートに接続され、保護されたネットワーク上のリソースにアクセスできるようになります。

• EAP（Extensible Authentication Protocol）：多くの異なる種類の認証方法と様々なオプションをサポートする汎用の認証フレームワークです。サポートする認証方法には、Kerberos、公開鍵暗号、ワンタイムパスワードなどがあります。サプリカントと認証装置の間のEAP通信は、通常、EAPoL（EAP over

LAN）プロトコルを使用してカプセル化されます。認証装置と認証サーバの間のEAP通信は、通常、RADIUS（Remote Authentication Dial In User Service）を使用してカプセル化されます。

Appleテクニカルホワイトペーパー 802.1X認証

3

EAP方式EAP方式は、サプリカントと認証装置の間で、サプリカントの識別情報の検証に使用する認証のタイプを定義します。これらの認証方式は、次の2つのグループに大別できます。

• パスワードベースの認証方式：パスワードベースの認証方式では、個々のデバイスがユーザ名とパスワードを提示してネットワークの認証を求める必要があります。パスワードベースの方式では、暗号化されたトンネルを使用してパスワードを送信するか、チャレンジ／レスポンスメカニズムを使用してデータを暗号化し、サーバに対してクライアントがそのパスワードへのアクセスを許可されていることを証明します。通常、ユーザのネットワークパスワードまたはデバイス信頼アカウントのパスワードをこの交換のパスワードとして使用します。

• 証明書ベースの認証方式：証明書ベースの認証方式では、パスワードの代わりにX.509 IDを使用します。X.509 IDは、秘密鍵、識別情報に関する情報を提供する証明書、および公開鍵で構成されています。証明書と公開鍵は公開することができます。公開鍵は、通常、証明書に含まれます。秘密鍵は絶対に共有されることはありません。認証サーバとサプリカントの両方に固有のX.

509 IDがインストールされます。

一般的なEAP方式EAPは、拡張可能な性質を持っているため、約40の方式が定義され、方式ごとに、EAPメッセージの処理方法、および提供する認証オプションや設定を定義しています。パスワードベースと証明書ベースのいずれにおいても、一般的なEAP方式では、サーバサイドの識別情報が必要です。

WPA Enterprise暗号またはWPA2 Enterprise暗号を使用するネットワークでは、802.1X認証に、通常、次のEAP方式が使用されます。

• PEAP（Protected Extensible Authentication Protocol）：PEAPは、デバイスの認証にパスワードベースの認証を使用し、サーバの識別情報の検証には証明書ベースの認証を使用します。認証を求めるユーザの身元を隠すために、ユーザ名とは別の外部IDを使用し、事前認証プロセスの一部として暗号化せずに


4

サポートされているEAPタイプOS XコンピュータおよびiOSデバイスは、例えば次のような一般的なEAP方式をサポートしています。

• PEAP

• TLS

• TTLS

• LEAP

• EAP-FAST

• EAP-SIM

渡すことができます。PEAPは、802.1X環境で最も一般的なパスワードベースの認証です。

• TLS（Transport Layer Security）：TLSは、クライアントサイドの証明書ベースの認証を使用します。この方式では、ネットワークに接続するデバイスに識別情報を事前にプロビジョニングしておく必要があります。そのため、TLSは非常に安全な方法ですが、最初のネットワーク接続の前にプロビジョニングが必要なので、導入が難しい方法でもあります。TLSは、最も一般的な形式の証明書ベースの認証です。

• TTLS（Tunneled Transport Layer Security）：TTLSはTLSを拡張した方式です。サプリカントにあらかじめインストールされた証明書を使用するのではなく、認証サーバとサプリカントの間で安全なトンネルを使用します。TTLS

は、クライアント側でパスワードベースの認証を使用し、サーバの識別情報の検証には証明書を使用する点で、PEAP認証に似ています。

• LEAP（Lightweight Extensible Authentication Protocol）：LEAPは、Ciscoが主にCiscoのハードウェアで使用するために開発したパスワードベースの認証方式です。これは古いプロトコルだと考えられています。

• EAP-FAST（Flexible Authentication via Secure Tunneling）：EAP-FASTは、ディレクトリ認証、PAC（Protected Access Credential）、および外部IDを使用できるパスワードベースの認証方式です。

• EAP-SIM（Subscriber Identity Module）：EAP-SIMは、SIM（subscriber identity

module）カードを使用して認証を行います。SIMは特定の携帯通信事業者と密接に結合されているので、実際、この方式は通信事業者によって提供されているWi-Fiホットスポットにのみ適用されます。

802.1X認証802.1X認証プロセスは、次の2つの基本段階で構成されます。

事前認証802.1X事前認証プロセスは、ネゴシエーションおよび認証に使用される、サプリカントサービスまたはソフトウェアが含まれているクライアントデバイスから開始されます。デバイスがワイヤレスまたは有線のネットワークの無許可のポートに接続すると、スイッチまたはアクセスポイント上で動作する認証装置ソフトウェアが、デバイスによるネットワークへの接続をブロックします。認証装置はいずれかのEAP方式を使用して、サプリカントとの間でセキュリティのネゴシエーションを確立し、802.1Xセッションを作成します。

サプリカントが識別情報を認証装置に提供し、認証装置がその情報を認証サーバにプロキシします。

認証認証サーバは、サプリカントを認証した後、プロセスの認証段階を開始します。この段階では、認証装置が、サプリカントと認証サーバの間の鍵の交換を仲介します。これらの鍵が確立されると、認証装置はサプリカントに対し、許可ポート経由で保護されたネットワークにアクセスすることを許可します。


5

次の図は、RADIUSサーバをワイヤレスネットワークのアクセスポイントの認証サーバとして使用した、802.1X認証プロセスの実装の概要を示します。

1 ユーザが使用可能なワイヤレスネットワークを選択するか、デバイスが以前設定されたネットワークを検出すると、デバイスがネットワークへの接続を要求します。

2 アクセスポイントは、要求を受信すると、要求をRADIUS認証サーバに渡して認証を行います。

3 RADIUSサーバは、ディレクトリサービスを使用して、ユーザアカウントを検証します。

4 ユーザが認証されると、アクセスポイントは、RADUUSサーバの指示に従い、ポリシーおよび許可とともにネットワークアクセスを提供します。


6

RADIUSRADIUS（Remote Authentication Dial In User Service）サーバは、一般に認証サーバとして使用します。Open DirectoryやActive Directoryなどのディレクトリサービスのアカウントと統合して、認証、許可、およびアカウンティングサービスを一元的に提供できます。

Apple製品の802.1Xとの互換性802.1Xは、現在使用されているポートベースのネットワークアクセス制御のうち、最も広く普及している形態で、OS XとiOSの両方で使用できます。

Appleは、次の製品ファミリで802.1Xをサポートしています。

OS X

MacBook Air、MacBook Pro、iMac、Mac mini、Mac ProなどのOS Xコンピュータには、ワイヤレスネットワークと有線ネットワークの両方で802.1X認証に対応するサプリカントソフトウェアを標準でサポートしています。

OS Xコンピュータは、WPA/WPA2エンタープライズLEAP、EAP-FAST、TTLS

（MCHAPv2）、PEAP v0とv1をEthernetおよびワイヤレスネットワークで検出します。ネットワークペイロードなしにEAP-TLS認証を行うには、必要なID証明書をインストールした上で、ユーザに対して、ネットワーク接続時に表示される802.1X資格情報のダイアログでEAP-TLSモードを選択するように指示します。その他のEAPタイプでは、ネットワークの正しい設定を指定したネットワークペイロードが必要です。

OS Xコンピュータのユーザは、「Wi-Fi」メニューで「ほかのネットワークに接続」を選択して、動的な802.1X/WEP（WEPエンタープライズ）に手動で接続することができます。ユーザがこれらのタイプのネットワークに自動的に接続できるようにするには、セキュリティの種類として802.1X/WEPを指定するネットワークペイロードをインストールします。

OS Xサプリカントには、ユーザモード、システムモード、ログインウインドウモードの3つの動作モードがあります。ユーザモードは最も基本的なモードで、ユーザがネットワークに接続し、プロンプトに応じて認証されるときに使用されます。システムモードは主にコンピュータの認証に使用され、ユーザがコンピュータにログインしていないときでも実行されます。ログインウインドウモードは、コンピュータがActive Directoryなどの外部ディレクトリにバインドされているときに使用されます。ログインウインドウモードに設定した場合、ユーザがログインウインドウでユーザ名とパスワードを入力すると、次の処理が行われます。まず、ユーザが入力したユーザ名とパスワードを使用して、802.1X経由でコンピュータがネットワークに対して認証されます。802.1X認証に成功すると、同じユーザ名とパスワードが外部ディレクトリに対して認証されます。システムモードとログインモードを一緒に使用することもできます。これらのモードについて詳しくは、付録A を参照してください。

OS X Lion以降が動作するコンピュータでは、構成プロファイルを使用して、802.1X設定を行います。OS Xプロファイルのデバイスおよびデバイスグループの設定は、システムレベルで適用されます。802.1Xをシステムモードまたはログインウインドウモードに設定するには、デバイスまたはデバイスグループの設定を編集します。ユーザおよびユーザグループの設定は、ユーザレベルで適用されます。構成プロファイルについて詳しくは、この文書の「構成プロファイルについて」および付録A を参照してください。


7

ワイヤレスセキュリティプロトコルOS XコンピュータおよびiOSデバイスは、例えば次のような一般的なワイヤレスセキュリティプロトコルをサポートしています。

• WEP

• WPA PSK（WPAパーソナル）• WPA2 PSK（WPA2パーソナル）• 802.1X/WEP（WEPエンタープライズ）• WPAエンタープライズ• WPA2エンタープライズ

OS X Server

OS X Serverには、802.1X認証環境に統合できる次のサービスとテクノロジーが含まれています。

RADIUS

RADIUSは認証サーバとして使用され、Open Directoryユーザやグループが、ネットワーク上のAirMacベースステーションにアクセスできるように認証します。RADIUSとOpen Directoryを設定することで、どのユーザとグループがワイヤレスネットワークに接続できるかを制御できます。

Open Directory（認証／許可）Open Directoryとパスワードサーバは、ユーザとグループに対して一元的な認証および許可サービスを提供するために使用します。Open DirectoryはRADIUSと連係して、許可されたユーザに対し、AirMacベースステーション経由でネットワークにアクセスする許可を与えます。

プロファイルマネージャ（プロファイルの作成／配布）プロファイルマネージャは、特定のユーザ、ユーザのグループ、デバイスを設定する構成プロファイルを簡単に作成、配布できるOS X Serverのコンポーネントです。プロファイルマネージャによる管理はウェブベースででもできるので、最近のものであれば、どのウェブブラウザからでもサーバ管理を行えます。さらに、ユーザにセルフサービスのウェブポータルへのアクセス権を与えることで、ユーザは新しい構成プロファイルをダウンロードしてインストールできるようになるほか、遠隔操作でデバイスのパスコードの消去や、紛失または盗難にあったデバイスのロック、ワイプを行うこともできます。

iOS

iPhone、iPad、iPod touchなどのiOSデバイスでは、WPA2エンタープライズをはじめとする業界標準のネットワークプロトコルを使用して、ワイヤレスネットワーク経由で802.1X認証を行うためのサプリカントソフトウェアを標準でサポートしています。

iOSデバイスは、広範なRADIUS認証環境に統合できます。iPhone、iPad、iPod

touchでは、EAP-TLS、EAP-TTLS、EAP-FAST、EAP-SIM、PEAPv0、PEAPv1、LEAPなどの802.1Xワイヤレス認証方式がサポートされています。

iOSデバイスの802.1X設定は、構成プロファイルを使用して指定します。iOSプロファイルのすべての802.1X設定は、デバイスレベルで適用されます。


8

AirMac

AirMac Extreme、AirMac Express、Time CapsuleなどのApple AirMac製品は、ワイヤレスサプリカント（OS XコンピュータおよびiOSデバイス）とRADIUSサーバの間の認証装置サービスを提供するように設定することができます。

ユーザがAirMacベースステーションにアクセスを試みると、AirMacは、EAPを使用してユーザの認証と許可を行います。ユーザは、その識別情報が有効で、AirMac Extremeベースステーションを使用する許可があれば、ネットワークにアクセスできます。許可されていないユーザは、AirMacベースステーション経由でアクセスできません。


9

802.1X設定の構成Apple製品を802.1X認証環境に統合できるように構成するには、保護されたネットワークへのアクセス用の設定と証明書を含む構成プロファイルを作成し、デバイスに導入する必要があります。

信頼チェーンEAP-TLSなどの一部のEAP方式では、証明書ベースの認証を使用してクライアントを一意に識別することで、ユーザの介入なしにネットワークでクライアントを認証できます。クライアントとサーバの両方が識別情報を持ち、これらの識別情報と他の証明書が共に使用されて、クライアントとサーバの間に信頼チェーンが確立されます。

802.1X認証環境では、信頼チェーンで証明書が果たす役割を理解することが重要です。クライアントデバイスはサーバサイド証明書を検証できる必要があります。またそれらの証明書はEAPについて信頼されている必要があります。この信頼はユーザによって確立されます。ユーザは、802.1Xで保護されているネットワークに初めてデバイスを接続すると、サーバの証明書を信頼するように求めるプロンプトが表示されます。

クライアントデバイスがサーバに提示する証明書も有効でなければなりません。構成によっては、証明書の情報が認証サーバ（通常、ディレクトリサーバ）で検証され、保護されたネットワークに対するユーザのアクセス権が許可または拒否されます。構成プロファイルを使用して、クライアントの802.1X設定を構成する場合、プロファイルには必要なサーバサイド証明書を追加し、それらの証明書に対する信頼設定を有効にする必要があります。

802.1Xの統合の概要Apple製品を使用して802.1X認証を導入するには、主要コンポーネント間の対話が必要です。これらのコンポーネントは統合されたシステムを形成し、適切に設定されていれば、802.1Xを使用した安全で信頼性の高い認証の基盤となります。

Apple製品によって802.1Xを対象の環境に統合しようとする場合、次の一般的なプロセスと重要な考慮事項を念頭に置くと役立つことがあります。

1. ネットワークインフラストラクチャの検証

• ネットワークアプライアンスの互換性を確認し、サポートされる認証タイプ（EAPタイプ）を選択します。

• 対応する鍵の配布プロセスをサポートするように、証明書インフラストラクチャを設定します。

• 証明書の形式と認証サーバの互換性を確認します。

2. 認証サーバの設定

• ネットワーク設定（ホスト名、MACアドレス、IPアドレスなど）に関する情報を収集します。

• 必要な証明書および識別情報を生成してインストールします。


10

• RADIUS、ディレクトリサービス、ウェブホスティング、Eメール、VPNなどのサービスを設定します。

• ユーザとグループにネットワークへのアクセス権を割り当てます。

• 構成プロファイルを作成し、設定を構成します。

• プロファイルをデバイスに配布します。

3. 認証装置の設定

• ネットワーク設定に関する情報を収集します。

• 802.1X（RADIUS）認証用のアクセスポイントを設定します。

4. サプリカントの設定

• デバイスを管理の対象として登録します。

• デバイスにプロファイルをインストールします。

• インストールした証明書および識別情報の信頼チェーンを検証します。

構成プロファイルについて

構成プロファイルは、設定を標準化すると共に、デバイスが、企業や学校、その他の組織内のネットワークにあるサーバと対話するように設定する方法です。1つまたは複数のデバイスの構成プロファイルを作成し、それをデバイスにインストールすることで、プロファイル内の設定が適用されます。

1つのデバイスに複数の多様な構成プロファイルをインストールすることができます。例えば、ユーザの「Mail」アカウントの設定用と、Wi-FiおよびVPNのネットワーク設定用にそれぞれ1つずつ構成プロファイルを作成できます。構成プロファイルの内容を保護するため、署名済みの暗号化された形式で配布することができます。

OS XコンピュータおよびiOSデバイスを802.1Xネットワークで認証するよう設定するには、設定を作成してインストールする構成プロファイルを使用する必要があります。プロファイルマネージャなどのMDM（モバイルデバイス管理）ソリューションを使用すると、プロファイルの作成や配布、さらには削除までを自動的に実行できます。


11

構成プロファイルOS XコンピュータとiOSデバイスはどちらも、構成プロファイルを使用して802.1X設定を管理します。これらのXMLファイルは、キー値ペアをプロパティリスト（.plist）形式で保存します。またファイル名に.mobileconfigサフィックスが付いています。構成プロファイルについて詳しくは、Appleのウェブサイトで「構成プロファイルを使用したOS Xの管理」のホワイトペーパーを参照してください。

構成プロファイルの作成OS XコンピュータおよびiOSデバイス用に、AppleはXMLドキュメント構造を使用して、構成プロファイルの内容および形式を定義しています。

構成プロファイルは、プロパティリスト（.plist）形式で保存されます。構成プロファイルの作成には、次のような様々なツールを使用できます。

• OS X Serverに含まれているプロファイルマネージャ

• サードパーティが提供するMDM（モバイルデバイス管理）ソリューション

• AppleからダウンロードできるiPhone構成ユーティリティ

• Mac App Storeから入手できる「Apple Configurator」

• テキストエディタやスクリプト作成ソリューションを使用した手動による記述

構成プロファイルおよび作成ツールの詳細とドキュメントについては、この文書の「関連資料」を参照してください。

ペイロードの設定の構成個々の構成プロファイルには、1つまたは複数のペイロードが含まれています。ペイロードとは、例えばWi-FiやVPNの設定などの、特定のタイプの設定の集合です。

新しい構成プロファイルを作成する場合、1つまたは複数のプロファイルのペイロードに設定を指定します。各ペイロードの設定フィールドには、ペイロードの目的に関する短い説明と、ペイロードの使用方法が示されています。

これらの設定は、1つの一般的な構成プロファイルで構成することも、小さな目的別の構成プロファイルに分割することもできます。

ペイロードOS XコンピュータとiOSデバイスで802.1Xの設定を構成する場合、通常次のペイロードが使用されます。

• 一般：一般ペイロードは、プロファイルを一意に識別すると共に、プロファイルの削除に関するポリシーを定義します。

• ネットワーク：ネットワークペイロードは、802.1Xの構成の主な設定内容を指定します。また、指定したネットワークのEAP方式とセキュリティオプションを定義します。

• 証明書：証明書ペイロードは、デバイスと保護されたリソースの間に証明書の信頼チェーンを確立するための資格情報と識別情報を指定します。

• SCEP：SCEPペイロードは、SCEP（Simple Certificate Enrollment Protocol）サーバから識別情報を取得するために必要な設定を定義します。

構成プロファイルで必須のペイロードは、一般ペイロードとネットワークペイロードのみです。しかし、その他のペイロードも設定されるのが普通です。802.1X認証を行うには、必要なすべての証明書を設定する証明書ペイロードも


12

複数のペイロード構成プロファイルには複数のペイロードを指定して、複数のサービスや設定を構成できます。例えば、Wi-Fi用とEthernet用に別個のネットワークペイロードを作成することもできます。

デバイスプロファイルとユーザプロファイルOS Xでは、デバイスまたはデバイスグループ用に作成されたプロファイルは、システムレベルで適用されます。これに対して、ユーザまたはユーザグループ用に作成されたプロファイルは、ユーザレベルで適用されます。iOSでは、すべてのプロファイルが同じレベルで適用されます。また、プロファイルはデバイスにのみ使用されます。

必要です。また、クライアントがSCEP経由で識別情報を取得する場合は、SCEP

ペイロードも必要です。

以下では、上記のペイロードタイプのそれぞれの一般的な内容について、802.1Xに関連する設定を中心に説明します。これらのペイロードの設定について詳しくは、付録A「802.1Xのためのペイロード設定」を参照してください。

一般設定構成プロファイルでは一般ペイロードのみが必須のペイロードです。このペイロードは、構成プロファイルの名前と識別子を設定します。このペイロードはまた、エンドユーザがプロファイルのインストール後、そのプロファイルを削除できるかどうかも指定できます。

構成プロファイルを常に整理された状態に保つために、一貫した命名規則と、バージョン番号と日付の入ったわかりやすい説明を使用する必要があります。構成プロファイルごとに、固有の識別子を指定することが重要です。後で作成されたプロファイルに同一の識別子が指定されていると、元のプロファイルと置き換えられてしまうからです。

ネットワーク設定ネットワークペイロードの設定の多くは、OS XとiOSの両方に適用されますが、OS Xにのみ適用される設定もあります。OS Xの設定は、ユーザレベルまたはデバイスレベルで適用されます。例えば、PEAPによって認証する際、コンピュータの資格情報を使用できるようにする機能は、デバイスレベルでのみ使用できます。

ネットワークペイロードは、パスワードベースのプロトコルと証明書ベースのプロトコルの両方で必須です。このペイロードは、使用するネットワークインターフェイス（Wi-FiまたはEthernet）を指定します。またWi-Fiプロトコルのセキュリティ設定を提供し、802.1Xの構成に関連付けられた証明書および識別情報への参照が含まれています。

802.1Xの主な設定は、ペイロードの「セキュリティの種類」と「ネットワークセキュリティ設定」の各セクションに指定されています。「セキュリティの種類」セクションでは、ワイヤレスセキュリティプロトコルの設定が定義されます。「ネットワークセキュリティ設定」セクションでは、EAPプロトコルと信頼設定が定義されます。

ネットワークペイロードの「信頼」セクションは、認証サーバの証明書および認証サーバの信頼チェーンに含まれる追加の証明書の明示的な信頼を確立するために使用します。また、必要に応じて、認証サーバに関連付けられた証明書にワイルドカード名を指定することもできます。

証明書の設定証明書ペイロードを使用すると、信頼できるルート証明書、中間証明書、サーバ証明書、X.509 IDを指定できます。このペイロードを使用して、デバイスにインストールするX.509証明書を指定します。また、保護されたネットワークにデバイスがアクセスするためには、信頼チェーンを使用してデバイスのアクセス権を認証する必要がありますが、その信頼チェーンを確立するために必要な証明書をここで追加します。


13

証明書の設定• 証明書名• 証明書または識別子データ• パスフレーズ

ネットワーク設定• ネットワークインターフェイス• SSID

• 非公開ネットワーク• 自動接続• プロキシ設定• セキュリティの種類• ネットワークセキュリティ設定

一般設定• 組織• 説明• セキュリティ

次の表では、ファイル形式、拡張子、サポートの概要を示します。

タイプ用途 OS X iOS 拡張子

PKCS#12 識別情報 Yes Yes .p12

PKCS#7 識別情報 Yes No .pfx

X.509 ルート、中間、リーフ Yes Yes .cer, .pem, .der

SCEP設定OS XとiOSはいずれも、HTTP経由のSCEP（Simple Certificate Enrollment Protocol）を介して識別情報を安全に要求できます。このペイロードによって構成される設定は、SCEPで使用する証明書署名要求（CSR）の生成時に使用されます。

OS XコンピュータとiOSデバイスへの識別情報の発行EAP-TLSを使用して認証を行うには、認証されるデバイスに、事前に識別情報をインストールしておく必要があります。識別情報の要求方法は、環境によって異なります。識別方法を要求する一般的な方法には、以下があります。

• 手動：CSRを作成して認証機関（CA）に送信し、前の手順で見つけたテンプレートを要求してから、PKCS#12（.p12）ファイルを生成します。このファイルはパスワードで保護されます。次にこのファイルを802.1X構成と共にペイロードに追加します。

• SCEP：SCEPサービスを使用して識別情報を要求するようにペイロードを設定した後、設定したペイロードを「ネットワーク」構成ペイロードの中で指定します。次に、SCEP要求によって取得された識別情報が、802.1X構成で使用されます。SCEPサービスが有効で、SCEP環境内で設定されていること、またワンタイムパスフレーズが生成されてペイロードに含まれているか、パスフレーズを再使用できるようにSCEPサービスが設定されていることを確認する必要があります。

• ADCertificateプロファイル（OS X）：OS Xは、ユーザまたはコンピュータのActive Directoryアカウントの情報に基づいて、証明書を要求することができます。このオプションを使用するには、Microsoft Web登録を有効にし、マイクロソフト環境で構成する必要があります。詳しくは、Appleのサポートウェブサイトの「ADCertificatePayloadPluginを使ってMicrosoft証明機関からの証明書を要求する方法」を参照してください。

• ウェブブラウザ（OS Xのみ） OS Xで動作する「Safari」は、Microsoft Web登録ウェブサイトから直接、keygenタグを使用して識別情報を要求できます。要求の生成時、ログインキーチェーンに秘密鍵が保存されます。証明書は、発行後、キーチェーンに読み込むことができます。取得された識別情報はPKCS#12（.p12）ファイルとして書き出して、ペイロードの中で使用できます。このペイロードは、ネットワークペイロードで構成に使用できます。


14

SCEPの設定• 名前• サブジェクト• サブジェクト代替名のタイプ• サブジェクト代替名の値• NTプリンシパル名• チャレンジ• 鍵のサイズ• デジタル署名として使用• 鍵の暗号化に使用• フィンガープリント

http://support.apple.com/kb/HT4784?viewlocale=ja_JP




802.1X構成プロファイルの導入802.1X構成プロファイルをOS XコンピュータとiOSデバイスに導入するには、次の2つの手順を実行します。

• 必須のルート証明書および必要な中間証明書が入った構成プロファイルをデバイスに配布します。

• ルート証明書、中間証明書、識別情報が入った構成プロファイルをデバイスにインストールします。

構成プロファイルをデバイスに配布するには、複数の方法があります。ユーザがダウンロードできるようにウェブサイトに投稿することも、ユーザに直接E

メールで送信することもできます。またプロファイルマネージャなどのMDMソリューションを使用すれば、管理の対象として登録されたデバイスに自動的に配布できます。

デバイスは、MDMサーバとの間に信頼できる安全な接続を確立できる必要があります。サーバのSSL証明書が、OS XまたはiOSにとって既知の信頼できるCAによって発行されたものでない場合、ユーザは使用するデバイスに必要なルート証明書をインストールして証明書を確認する必要があります。プロファイルマネージャの場合、ユーザはユーザポータルから信頼プロファイルをダウンロードすることで対応できます。

プロファイルマネージャは、構成プロファイルに署名できるため、デバイスは構成プロファイルが変更されていないことを確認できます。これには、プロファイルマネージャで作成できるコード署名証明書が必要です。

あるいは、設定した信頼チェーンに登録されている署名証明書を使用することもできます。「Server」アプリケーションの「プロファイルマネージャ」ペインでプロファイルの署名を有効にし、システムキーチェーンでインストール済みのコード署名証明書を選択します。その後ユーザに対し、ユーザポータルから信頼プロファイルをダウンロードし、署名されたプロファイルを確認するための中間証明書をインストールするように伝えます。

「Finder」（OS X）ユーザが構成プロファイルを受け取ると、プロファイルを確認し、管理者用の資格情報を入力してプロファイルをインストールするよう求めるメッセージが表示されます。

あるいはプロファイルを手動でインストールすることもできます。これには、コンピュータ上でユーザがアクセスできる場所（デスクトップなど）にプロファイルをコピーし、ユーザにダブルクリックしてインストールするように伝えるだけです。

プロファイルをインストールし終わると、「システム環境設定」の「プロファイル」ペインにプロファイル名が表示されます。「プロファイル」ペインには、リモート管理プロファイルや信頼プロファイルなど、システムにインストールされているすべてのユーザとデバイスプロファイルが表示されます。ユーザは個々のプロファイルに関する詳細を表示して、プロファイルの追加と削除を実行できます。


15

システム環境設定（プロファイル）

Appleプッシュ通知サービスプロファイルマネージャなどのMDMサービスは、Appleプッシュ通知サービスを使用して、管理の対象として登録されているデバイスに、構成プロファイルをワイヤレスで配布できます。

「ターミナル」（OS X）構成プロファイルは、「ターミナル」のprofilesコマンドを使用して、コマンドライン（スクリプト経由）で管理できます。

testfile.mobileconfigという構成プロファイルを現在のユーザにインストールするには：

profiles -I -F /testfile.mobileconfig

現在のユーザからプロファイル/profiles/testfile2.mobileconfigを削除するには：

profiles -R -F /profiles/testfile2.mobileconfig

現在のユーザに対してインストールされている構成プロファイルに関する情報を表示するには：

profiles -L

iOS

ユーザが構成プロファイルを受け取ると、プロファイルを確認し、「インストール」をタップしてプロファイルをインストールするよう求めるメッセージが表示されます。ユーザは、「設定」＞「一般」＞「プロファイル」と選択して、インストールしたプロファイルの確認や削除を実行できます。


16

コマンドラインprofilesコマンドについて、詳しくは「ターミナル」を起動し、プロンプトで「man profiles」と入力してください。

関連資料

802.1X規格http://standards.ieee.org/getieee802/download/802.1X-2010.pdf（英語）

EAP（Extensible Authentication Protocol）規格http://tools.ietf.org/html/rfc5247（英語）

WPA（Wi-Fi Protected Access）www.wi-fi.org（英語）

構成プロファイルの参考資料http://help.apple.com/profilemanager/mac/10.7/#apd88330954-6FA0-4568-

A88E-7F6828E763A7

https://developer.apple.com/library/ios/featuredarticles/

iPhoneConfigurationProfileRef/（英語）

証明書http://www.apple.com/jp/ipad/business/docs/iOS_Certificates_JP.pdf

OS X Server

Profile Manager Help: http://help.apple.com/profilemanager/mac/10.7/

RADIUS: https://help.apple.com/advancedserveradmin/mac/10.7/#apd48AEB083-

F53C-498D-B245-FA7993D92F57 (英語)

OS X Lionでの802.1Xネットワークへのアクセス

モバイルデバイス管理（MDM）http://www.apple.com/jp/iphone/business/docs/iOS_MDM_JP.pdf

iPCU

iPhone構成ユーティリティ3.5 - Mac OS X

iPhone構成ユーティリティ3.5 - Windowsシステム用

AirMacの仕様http://www.apple.com/jp/wifi/

Microsoft証明機関からの証明書を要求する方法http://support.apple.com/kb/HT4784?viewlocale=ja_JP


17

http://standards.ieee.org/getieee802/download/802.1X-2010.pdf

http://standards.ieee.org/getieee802/download/802.1X-2010.pdf

http://tools.ietf.org/html/rfc5247

http://tools.ietf.org/html/rfc5247

http://www.wi-fi.org

http://www.wi-fi.org

http://help.apple.com/profilemanager/mac/10.7/#apd88330954-6FA0-4568-A88E-7F6828E763A7




https://developer.apple.com/library/ios/featuredarticles/iPhoneConfigurationProfileRef/




http://www.apple.com/jp/ipad/business/docs/iOS_Certificates_JP.pdf

http://www.apple.com/jp/ipad/business/docs/iOS_Certificates_JP.pdf

http://help.apple.com/profilemanager/mac/10.7/

http://help.apple.com/profilemanager/mac/10.7/

https://help.apple.com/advancedserveradmin/mac/10.7/#apd48AEB083-F53C-498D-B245-FA7993D92F57






http://www.apple.com/jp/iphone/business/docs/iOS_MDM_JP.pdf

http://www.apple.com/jp/iphone/business/docs/iOS_MDM_JP.pdf

http://support.apple.com/kb/DL1465?viewlocale=ja_JP




http://www.apple.com/jp/wifi/

http://www.apple.com/jp/wifi/



付録A：802.1X対応のペイロードの設定この付録では、OS XおよびiOSの構成プロファイルで、802.1Xの構成に通常必要な設定の概要を説明します。

ネットワーク、証明書、SCEP各ペイロードは、OS X Serverのプロファイルマネージャで操作する場合を想定して説明します。

指定するペイロードの個別の設定や数は、ネットワークアーキテクチャと組織のポリシーによって異なります。

ネットワークペイロード設定

ネットワークインターフェイス「ネットワークインターフェイス」の設定では、各設定をEthernet（有線）またはワイヤレスネットワークインターフェイスのいずれに適用するかを指定します（Ethernetは、OS Xコンピュータのプロファイルでのみ使用されます）。

ログインウインドウ構成として使用（デバイスプロファイル、OS Xのみ）この設定を有効にすると、ログインウインドウで入力したのと同じ資格情報が、802.1Xおよび設定されたディレクトリサーバを介したユーザの認証に使用されます。「ログインウインドウ構成として使用」チェックボックス（デバイスプロファイルでのみ使用可能）を選択すると、ログインウインドウモード構成を明確に定義することになります。

SSID（ワイヤレスのみ）接続先のワイヤレスネットワークのネットワーク名であるSSID（Service Set

Identifier）を入力します。802.1X構成は、SSIDに関連付けられています。このネットワークに接続すると、クライアントは、指定された802.1X設定によって認証されます。

非公開ネットワーク（ワイヤレスのみ）接続先のネットワークが公開ネットワークではなく、SSIDをブロードキャストしていない場合、この設定を有効にします。ネットワークが非公開の場合、このオプションを選択すると、SSIDが要求されます。SSIDをブロードキャストする必要はありません。

自動接続（ワイヤレスのみ）このオプションを選択すると、ワイヤレスネットワークを使用できる場合に、デバイスが自動的にネットワーク接続を試みます。

セキュリティの種類（ワイヤレスのみ）ネットワーク接続時に使用するワイヤレスネットワーク暗号化を選択し、選択したセキュリティの種類に対してプロトコル設定と信頼設定を指定します。802.1Xでは、WEPエンタープライズまたはWPA/WPA2エンタープライズを選択します。WEPは古いセキュリティの種類だと考えられているので、WPA/WPA2エンタープライズを使用するのが一般的です。


18

ネットワーク設定

ネットワーク設定（OS Xデバイスプロファイル）

ネットワークセキュリティ設定「ネットワークセキュリティ設定」では、802.1Xネットワーク認証に関連する主な設定を行います。「ネットワークセキュリティ設定」には、EAPプロトコルを選択するための「プロトコル」と、証明書や例外に関連する信頼のオプションを定義するための「信頼」の2つのタブがあります。

注：以下で説明するデバイスプロファイルのネットワーク設定を構成する際、認証資格情報を入力すると、システムモード構成を作成することになります。認証資格情報は、次のいずれのネットワークセキュリティ設定を使用しても設定できます。

• ユーザ名とパスワードを入力する

• 前に証明書ペイロードで定義した識別情報を選択する

• 「ディレクトリ認証を使用」を選択する

• 前に定義したSCEPペイロードを選択する

プロトコル（受け入れたEAPの種類）「プロトコル」タブでは、認証に使用するEAP方式を指定します。ネットワークに適用されるプロトコルを選択します。同時に複数のEAP方式を選択することもできます。ユーザ名、パスワード、外部IDの3つは、すべての方式で使用されます。

TTLS、LEAP、PEAP、EAP-FASTで、ディレクトリ認証を選択すると、OS Xディレクトリログインの資格情報が認証に使用されます。

次の各オプションは、それぞれに示す一部のEAP方式でサポートされています。オプションによっては、デバイスプロファイルのみまたはユーザプロファイルのみに適用できるものもあります。

• ディレクトリ認証を使用 OS Xデバイスプロファイルでこのチェックボックスを選択すると、ターゲットマシンのActive Directoryの資格情報を使用して認証が行われます。コンピュータがActive Directoryにバインドされている場合に、パスワードベースのEAPタイプを使用すると、Active Directoryへのバインドに使用されているコンピュータ資格情報を使用して802.1X経由の認証が行われます。これは、「コンピュータ認証」と呼ばれることもあります。

• PAC（Protected Access Credential）：この設定はEAP-FASTで使用され、事前認証段階で使用される暗号化された共有シークレットを構成します。このオプションを有効にすると、安全なトンネル経由でデバイスをRADIUSサーバで認証する際に使用される、事前共有鍵がPACによって確立されます。PACは、PACのプロビジョニングを有効にすると、自動的にプロビジョニングすることができます。

• ユーザ名：パスワードベースのプロトコルを使用する場合は、デバイスの認証に使用するユーザ名を入力します。TLSを使用している場合は、識別情報の要求への応答として、ID証明書の値自体を送信するのではなく、「ユーザ名」に入力した値が送信されます。証明書の値を使用しても認証が正しく実行できない場合、host/computername.domain.comやcomputername$のように入力することができます。

OS Xコンピュータでは、802.1Xユーザ名フィールドに以下の変数を使用できます。これらの変数は、インストール時にデバイス上で解決されます。これ


19

EAPオプション（ユーザプロファイル）

EAPオプション（OS Xデバイスプロファイル）

ネットワークセキュリティ設定（プロトコル）このセクションでプロトコルを有効にすると、プロトコルの下に追加のオプションが表示されます。表示されるオプションは、選択したプロトコルによって異なります。

らの変数と静的テキストを組み合わせて複合ユーザ名を作成することもできます。すべての変数のリストを表示する手順については、「プロファイルマネージャヘルプ：ネットワーク設定」を参照してください。

• 接続ごとにパスワードを使用：OS Xのユーザプロファイルでこのオプションを有効にすると、ユーザは接続ごとに異なるパスワードを入力する必要があります。このオプションは、RSAトークンをはじめとするワンタイムパスワードで使用します。

• パスワード：指定したユーザ名に対応するパスワードを入力すると、ユーザのパスワードがプロファイルに組み込まれます。パスワードを指定しない場合、ユーザは最初の接続時にパスワードの入力を求められます。入力したパスワードはユーザのキーチェーンに保存できます。

• ID証明書：証明書ベースの認証で使用される識別情報を指定するID証明書を選択します。SCEPペイロードを選択すると、そのペイロードを使用して作成された識別情報が認証時に使用されます。また「資格情報」セクションで指定したPKCS#12識別情報ファイルを選択することもできます。資格情報ペイロードには、証明書と秘密鍵の両方が必要です（以下を参照）。証明書と秘密鍵はいずれも1つのPKCS#12（.p12）ファイルに格納され、通常、パスワードで保護されています。

• 内部認証：TTLSで使用する認証プロトコルを選択します。このオプションでは暗号化されたトンネルが使用され、MS-CHAPv2（Microsoft Challenge

Handshake Authentication Protocol v2）、MSCHAP（Microsoft Challenge

Handshake Authentication Protocol）、CHAP（Challenge Handshake

Authentication Protocol）、またはPAP（Password Authentication Protocol）を選択できます。

• 外部ID：外部から認識可能な識別情報として指定する名前を入力します。これは認証時に使用される「本当の」IDとは異なる、外部向けのIDです。外部IDは、ネゴシエーションの最初の部分で送信され、ネットワーク上でクリアテキストとして取得できます。

設定 TLS TTLS LEAP PEAP EAP-FAST

ディレクトリ認証を使用 • • • •

PAC（Protected Access Credential） •

ユーザ名 • • • •

接続ごとにパスワードを使用 • • • •

パスワード • • • •

ID証明書 •

内部認証 •

外部ID • • •


20

http://help.apple.com/profilemanager/mac/10.7/#apdF985515F-9344-46EE-BAC5-D60ABBF1C1D1




信頼：「信頼」タブでは、ネットワーク接続用の認証サーバを検証するために、どの証明書を信頼できる証明書として扱うかを指定します。信頼できるルート証明書ストアに、802.1X認証で信頼したくないルートが含まれている可能性があるので、この設定を使用すれば、特定の証明書または特定の証明機関のみを信頼できます。

信頼できる証明書：このリストには、証明書ペイロードにある証明書が表示され、中間（またはリーフ）証明書を明示的に信頼できます。

• 信頼できるサーバ証明書の名前：認証サーバから許容する証明書名を追加または削除します。信頼できる証明機関が発行するすべての802.1X証明書を信頼するわけではない場合、サーバ証明書のコモンネーム（初期ネゴシエーションで、サーバからクライアントに送信される証明書にあるコモンネーム）を指定することができます。ワイルドカード文字を指定することもできるので、すべてのサーバ名を入力する必要はありません。例えば、次のように指定できます。*.mycompany.radius.com

デバイス構成プロファイルでは、接続の認証に必要な信頼できる証明書を提供する必要があります。

• 信頼例外を許可：このオプションを有効にすると、信頼チェーンが確立できないときに、ユーザがサーバを信頼するかどうかを決定することができます。このような確認プロンプトが表示されないようにし、信頼できるサービスだけに接続できるようにするには、このオプションを無効にし、すべての必要な証明書をプロファイルに埋め込んでください。

ユーザ向けのプロファイルを作成する場合、設定は802.1Xユーザモード用です。デバイス向けのプロファイルを作成する場合、設定はシステムモード用またはログインウインドウモード用です。

「信頼例外を許可」チェックボックスをオンにすると、信頼できない証明書を信頼するかどうかを尋ねるプロンプトがデバイスに表示されます。チェックボックスをオフにすると、デバイスが認証に失敗します。

「信頼できる証明書」または「信頼できるサーバ証明書の名前」を使用して信頼を確立している場合、このチェックボックスをオンにしないでください。オンにした場合、信頼の判断について理解していないユーザの手に、判断をゆだねる可能性があります。

証明書の設定証明書の設定ペイロードは、認証サーバ証明書とユーザまたはコンピュータの識別情報（EAP-TLSを使用している場合）の両方に使用します。証明書の設定ペイロードを使用すると、証明書と識別情報をデバイスに追加することができます。OS XコンピュータおよびiOSデバイスは、RSAキーを使用したX.509証明書に対応しています。認識されるファイル拡張子は、.cer、.crt、.derです。

PKCS1形式とPKCS12形式の証明書がサポートされています。固有名が1つだけ含まれるP12（PKCS#12標準）ファイルを使用します。認識されるファイル拡張子は、.p12と.pfxです。


21

ネットワークセキュリティ設定（信頼）

資格情報をインストールする場合、デバイス上の信頼できる証明書へのチェーンを確立するための中間証明書をインストールする必要があります。サーバ認証に必要な証明書は、サーバ証明書それ自体のみです。必要に応じて、中間証明書やルート証明書を使用することができ、それらの名前フィールドでワイルドカードを使用できます。ユーザの識別情報をインストールする場合、識別情報のみをインストールし、中間サーバ証明書を含めないでください。

iOSデバイスにあらかじめインストールされている信用できるルート証明書の一覧は、「iOS 5：信用できるルート証明書の一覧」を参照してください。OS Xでは、「キーチェーンアクセス」を使用して、システムルートキーチェーンを表示してください。

Microsoft Exchangeで使用する識別情報を追加するには、Exchangeペイロードを使用します。

証明書のパスフレーズを省略した場合、ユーザはプロファイルのインストール時にパスフレーズの入力を求められます。プロファイルの作成と配布の方法によっては、ペイロードの内容が暗号化されないことがあるので、パスフレーズを埋め込む場合は、必ず許可されたユーザのみが使用できるようにしてください。

構成プロファイルを使用する代わりに、802.1Xユーザモードとユーザの識別情報を使用して証明書をインストールする場合、ユーザが「Safari」でウェブページから証明書をデバイスにダウンロードできるようにすることができます。また証明書をユーザにEメールで送信することもできます。あるいはSCEP設定を使用して、プロファイルのインストール時に、デバイスがワイヤレスで証明書を取得する方法を指定することもできます。

SCEP設定SCEPペイロードでは、デバイスでSCEP（Simple Certificate Enrollment Protocol）を使用して、認証機関（CA）から証明書を取得するための設定を指定できます。

URL

HTTPまたはHTTPS経由でSCEP要求を送信する宛先のSCEPサーバのアドレスを入力します。秘密鍵はCSRと共に送信されないので、要求を暗号化せずに送信しても安全な場合もあります。ただし、ワンタイムパスワードが再使用できる場合は、HTTPSによってパスワードを保護してください。

名前

証明書に署名する際に使用する認証機関を指定します（Microsoft SCEP環境では、この値が無視されます）。名前には、認証機関が理解できる任意の文字列を指定でき、例えば、インスタンス間の区別に使用できます。

サブジェクト、サブジェクト代替名、NTプリンシパル名これらの設定は、代替名に関連付けられる値を指定します。サブジェクトは、X.500名の表現です。変数を使用すれば、構成するOS Xコンピュータによって、このフィールドを動的に定義できます。サブジェクト名は通常、システム上のコンピュータアカウントへの識別名（DN）形式（dc=com,dc=example,cn=ipod

$）または相対識別名（RDN）形式（cn=ipad$）で指定されます。DNはオブ


22

証明書の設定

SCEP設定



ジェクト識別子（OID）（0.9.2342.19200300.100.1.25=com.

0.9.2342.19200300.100.1.25=example,CN=ipod$）で指定する必要があります。

サブジェクト代替名とNTプリンシパル名は、通常、DNS名です。

NTプリンシパル名は、NTネットワークおよびOS Xコンピュータを使用する場合のみ指定します。

サブジェクト代替名は、SCEPサーバの代替名のタイプと値を指定します。有効な値は、Eメールアドレス（RFC-822）、サーバのDNS名、またはサーバの完全修飾URLです。

サブジェクト、サブジェクト代替名、およびNTプリンシパル名はいずれも802.1Xの認証が成功する上で、正確さまたは省略を求められる重要な情報です。これらの属性には、決まった値は存在しないので、要件を特定するか、適切に機能することが確認されている既存の証明書の形式に従う必要があります。このような作業は困難なことがあります。認証が、NTプリンシパルやサブジェクト代替名で指定されているコモンネームやホスト名の特定のパスに依存することがあるからです。

例えば、RADIUSサーバの設定で、「remote access」という名前の組織単位にあるコンピュータのみが802.1Xを使用できるように指定されているとします。この場合、RADIUSサーバはサブジェクト名をチェックして、コンピュータアカウントがそのOUにあることを確認し、それに該当する場合のみ認証を受け入れます。例えば、クライアントの証明書のDNが、dc=example,dc=com,OU=remote

access, cn=ipadの場合は認証に成功し、dc=example,dc=com,OU=computers,

cn=ipadの場合は失敗します。このRADIUSサーバのログを見れば、この種の失敗は明らかです。SCEP経由で認証機関から証明書が発行されても、RADIUSサーバが実際にその証明書を受け入れる必要があるため、それが802.1X認証に使用できる保証はありません。

チャレンジSCEPサーバでワンタイムパスワードを使用する場合は、ここで入力します。これは、SCEPサーバが要求またはユーザの識別に使用できる事前共有シークレットです。

鍵のサイズ鍵のサイズのビット数として、1024と2048のいずれかを選択します。鍵を生成する場合、鍵のサイズの設定によって、鍵のサイズの長さが決まります。鍵のサイズが長い方が、一般に安全ですが、計算コストがかかります。公開鍵がCSRと共に送信される場合、CSRが受け入れられ、証明書が発行されるためには、サポートされている鍵のサイズを指定する必要があります。

「デジタル署名として使用」と「鍵の暗号化に使用」このオプションは、証明書に対して許可する用途を指定します。証明書が、署名の検証（証明書が認証機関によって発行されたことの検証など）に使用される場合、SCEPサーバは公開鍵を使用してハッシュを復号する前に、証明書をこの用途に使用できることを確認します。サーバが、クライアントによって提供された証明書に含まれている公開鍵を使用して、データが秘密鍵によって暗号化されたことを確認する場合、サーバはまず証明書が鍵の暗号化に使用できるかどうかを確認します。使用できない場合、サーバでの操作が失敗します。


23

リーフ証明書（クライアントとサーバにある証明書など）では鍵の暗号化が必要です。中間／ルート証明書ではデジタル署名が必要です。SCEP要求では、これら両方のオプションが選択されているのが普通です。

SCEPサーバによっては、この設定が別の設定に影響を与えることがあります。例えば、Microsoft NDES（Network Device Enrollment Service）では、このオプションに基づいて、異なるテンプレートが選択されます。

フィンガープリントCAがHTTPを使用する場合、このフィールドでCAの証明書のフィンガープリントを指定すると、デバイスの登録時に、このフィンガープリントを使用してCAの応答の信頼性が確認されます。フィンガープリントの指定には、SHA1またはMD5フィンガープリントを入力するか、証明書を選択して、その署名を読み込みます。

指定されたフィンガープリント（ルート証明書のハッシュ）は、SCEPネゴシエーションの際に提供される発行側のルート証明書と比較されます。フィンガープリントが一致しない場合、SCEPプロセスが失敗します。フィンガープリントを指定しない場合、確認は行われません。


24

付録B：構成プロファイルのサンプル

PKCS#12識別情報を使用したシステムEAP-TLS構成プロファイル<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//

EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">

<plist version="1.0">

<dict>

<key>PayloadContent</key>

<array>

<dict>

<key>AutoJoin</key>

<true/>

<key>EAPClientConfiguration</key>

<dict>

<key>AcceptEAPTypes</key>

<array>

<integer>13</integer>

</array>

</dict>

<key>EncryptionType</key>

<string>WPA</string>

<key>HIDDEN_NETWORK</key>

<false/>

<key>Interface</key>

<string>BuiltInWireless</string>

<key>PayloadCertificateUUID</key>

<string>85E6B54F-008C-4A38-92E9-DEEC79811959</

string>

<key>PayloadDisplayName</key>

<string>WiFi (TestSSID)</string>

<key>PayloadEnabled</key>

<true/>

<key>PayloadIdentifier</key>

<string>com.apple.mdm.earbuds.apple.com.543751e0-

e897-012e-17ca-0017f20564ec.alacarte.interfaces.864faa40-

e897-012e-17cc-0017f20564ec</string>

<key>PayloadType</key>

<string>com.apple.wifi.managed</string>

<key>PayloadUUID</key>


25

<string>864faa40-e897-012e-17cc-0017f20564ec</

string>

<key>PayloadVersion</key>


<key>ProxyType</key>

<string>None</string>

<key>SSID_STR</key>

<string>TestSSID</string>

<key>SetupModes</key>

<array>

<string>System</string>

</array>

</dict>

<dict>


<data>

<<bas64DATA>>

</data>


<string>Example Certificate Authority</string>


<true/>



e897-012e-17ca-0017f20564ec.alacarte.certificate.CD4D7BFA

-CF18-4289-85EA-636B9B2D28FD</string>


<string>com.apple.security.root</string>


<string>CD4D7BFA-CF18-4289-85EA-636B9B2D28FD</

string>



</dict>

<dict>

<key>Password</key>

<string>abc</string>


<data>

<<bas64DATA>>

</data>



26

<string>id.p12</string>


<true/>



e897-012e-17ca-0017f20564ec.alacarte.certificate.

85E6B54F-008C-4A38-92E9-DEEC79811959</string>


<string>com.apple.security.pkcs12</string>


<string>85E6B54F-008C-4A38-92E9-DEEC79811959</

string>



</dict>

</array>


<string>Settings for test</string>



e897-012e-17ca-0017f20564ec.alacarte</string>

<key>PayloadOrganization</key>

<string>AppleEnterprise</string>

<key>PayloadRemovalDisallowed</key>

<false/>

<key>PayloadScope</key>



<string>Configuration</string>


<string>543751e0-e897-012e-17ca-0017f20564ec</string>



</dict>

</plist>


27

CA証明書ペイロードを使用したシステムEAP-TLS構成プロファイル<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"

"http://www.apple.com/DTDs/PropertyList-1.0.dtd">

<plist version="1.0">

<dict>


<array>

<dict>

<key>PayloadCertificateFileName</key>

<string>Internal Issuing CA 1</string>


<data>ASNFZ4mrze8=</data>

<key>PayloadDescription</key>

<string>Trust Radius Server Certificate</string>




<string>my.payload.identifier</string>




<string>9768C058-9437-4F51-B7E6-AEAEF9717531</

string>



</dict>

<dict>

<key>PayloadCertificateFileName</key>

<string>Internal Root CA</string>


<data>/ty6mHZUMhA=</data>










28

http://www.apple.com/DTDs/PropertyList-1.0.dtd

http://www.apple.com/DTDs/PropertyList-1.0.dtd


<string>65295CEA-70C9-431A-86D1-F5581F2FED4F</

string>



</dict>

<dict>

<key>EAPClientConfiguration</key>

<dict>

<key>AcceptEAPTypes</key>

<array>


</array>

<key>PayloadCertificateAnchorUUID</key>

<array>

<string>9768C058-9437-4F51-B7E6-

AEAEF9717531</string>

<string>65295CEA-70C9-431A-86D1-

F5581F2FED4F</string>

</array>

</dict>

<key>EncryptionType</key>

<string>WPA</string>

<key>HIDDEN_NETWORK</key>

<true/>

<key>Interface</key>

<string>BuiltInWireless</string>

<key>PayloadCertificateUUID</key>

<string>0EF3981E-0DD8-4A62-A792-A859E734DCB6</

string>


<string>EAP-TLS 802.1x configuration</string>


<string>Configuration Profile</string>


<string>com.example.eaptls.8021x.wifi</string>


<string>Apple Inc.</string>


<string>com.apple.wifi.managed</string>



29

<string>9574A054-8A51-46B3-8766-D8542DB0D843</

string>



<key>SSID_STR</key>

<string>hidden_ssid</string>

<key>SetupModes</key>

<array>


</array>

</dict>

<dict>

<key>CertServer</key>

<string>https://pki.apple.com/certsrv</string>

<key>CertTemplate</key>

<string>Workstation</string>










<string>com.apple.ADCertificate.managed</string>


<string>0EF3981E-0DD8-4A62-A792-A859E734DCB6</

string>



<key>deleted</key>

<false/>

<key>PromptForCredentials</key>

<true/>

</dict>

</array>






30

https://pki.apple.com/certsrv

https://pki.apple.com/certsrv





<key>PayloadRemovalDisallowed</key>

<false/>


<string>SystemConfiguration</string>


<string>78BB1EE4-EC9E-463A-86D7-00DA73F26733</string>



</dict>

</plist>


31

付録C：Active Directory証明書の使用マイクロソフト環境では、PFXとPKCS#12形式がよく使用されます。PFX形式はiOSでサポートされないので、iOSで使用するには、P12に変換する必要があります。

注：Windowsワークステーションから識別情報を書き出すとき、通常、秘密鍵を書き出せないように識別情報が設定されます。秘密鍵が書き出せなければ、識別情報を認証に使用できません。証明書を書き出すだけでは、証明書ベースの認証は実行できません。

Active Directory証明書ペイロードOS Xでは、Windows証明機関のWeb登録サービス経由で、証明書の自動登録を要求されることがあります。この要求はKerberosを使用して認証され、作成された証明書が要求側のアカウントに関連付けられます。管理者はワンタイムパスワードを生成せず、ユーザまたはコンピュータのパスワードを使用して接続が認証されます。CSRは、SCEPと似た方法で送信されます。このペイロードタイプを提供するためのUIは存在しません。

このペイロードの作成方法について詳しくは、「関連資料」に示す「ADCertificatePayloadPluginを使ってMicrosoft証明機関からの証明書を要求する方法」を参照してください。

Microsoft認証機関環境でのEAP-TLSの作成Microsoft証明機関によって発行された証明書を使用してEAP-TLS経由で認証するクライアントを持つことは、一般的な導入環境です。OS XとiOSのいずれの場合も、証明書と環境に関する既知の情報を利用して、構成プロファイルを短時間に簡単に構成して導入できます。

認証に成功するためには、OS XコンピュータまたはiOSデバイスに有効なX.509

IDがインストールされ、この識別情報がRADIUSでの認証で受け入れられる必要があります。証明書には多様な情報が格納され、同じ情報が様々な形式で提示されることがあるので、これを要件とすることは認証の失敗につながる可能性があります。以下では、Microsoft CA環境にiOSおよびOS Xを導入する場合の、ベストプラクティスを示します。

• ルート証明書：組織のルート証明書がOS XまたはiOSのルート証明書ストアに含まれていない場合、そのルート証明書を証明書ペイロードに追加する必要があります。ルート証明書は、Windowsパソコンのコンピュータ証明書ストアから書き出すか、Microsoft Web登録CA経由で書き出します。

• テンプレート：X.509証明書には、証明書の目的に応じて、多くの異なる情報を格納できます。例えば、コンピュータのDNS名をその証明書に関連付けたり、ユーザのEメールアドレスをその証明書に関連付けたりすることができます。

Microsoft CAでは、複数の属性がテンプレートにグループ化され、発行されるテンプレートにどのような情報が含まれるかが定義されています。具体的な情報は、CSRやオブジェクトのActive Directoryの情報から取得できます。テンプレートでは、証明書の情報として、テンプレートが指定するAc t ive


32

Directoryの情報を入力するよう要求されることがよくあります。RADIUSサーバでユーザやコンピュータ、またはデバイスを認証するために必要な情報は、証明書に含まれている情報に基づいているので、RADIUSサーバが要求する情報は、通常、テンプレートの情報に基づいています。

可能であれば、Microsoft CAからの証明書の要求には、既知の適切な構成で現在使用されているのと同じテンプレートを使用してください。OS XコンピュータやiOSデバイス用に新しいテンプレートを作成したくなりますが、既存のテンプレートを使用すれば、将来テンプレートが更新された場合でも、それが新しい要求に与える悪影響を回避するのに役立ちます。

ただし、発行された証明書に含まれているユーザ名やコンピュータ名が、初期ネゴシエーションで許容できない形式である可能性があります（一般に、「host/client.domain.com」や「DOMAIN\computername」などの形式が必須です）。この問題を解決するには、インストールするプロファイルの前にネットワークペイロードを挿入し、ユーザ名をそのネットワークペイロードの中で使用するように指定するか、使用可能なユーザ名を入力する新しいテンプレートを発行します。

• Microsoft認証機関からのテンプレート名の検索：既存のテンプレートを使用するには、そのテンプレート名を知る必要があります。Microsoft認証機関によって発行されるすべての証明書には、証明書の発行の際に使用するテンプレート名を指定した拡張キー使用法が含まれています。この属性は、Windowsパソコンでローカル証明書ストアを開き、証明書を表示して参照できます。

証明書マネージャを表示するには、Microsoft管理コンソールを開き、証明書スナップインを選択します。コンピュータベースの証明書の場合は、スナップインの管理対象を尋ねられたときに、「コンピュータアカウント」を選択します。「個人用」の下に、そのマシンに対して発行された証明書が表示されます。テンプレート名は、「証明書テンプレート情報」に表示されます。


33

• ユーザ名：事前認証プロセスの初期EAPOL要求と応答の段階で、サプリカントからユーザまたはデバイスの名前が認証装置に送信されます。RADIUSサーバがこの名前をActive Directoryのユーザまたはデバイスアカウントに解決できない場合、ネゴシエーションが失敗します。EAP-TLSは証明書を使用して認証を行うので、ユーザ名が認証装置によって証明書から取得されます。ただし、ユーザ名をプロファイルで指定することもできます。ユーザ名は、次の順序で判定されます。

- プロファイルペイロードで指定されたユーザ名

- ID証明書のNTPrincipalName

- ID証明書のCommonName

- ID証明書のRFC822Name

ユーザ名が許容できないために認証に失敗した場合、またはユーザに対してIDを選択し、オプションのユーザ名を指定するよう求められた場合、正しいIDを選択し、ユーザ名として以下の形式を試みてください。

- host/fqdn.of.host（fqdn.of.hostは、コンピュータの完全修飾ドメイン名。「host」という単語はリテラルなので置き換えないでください）

- computername$（computernameはActive Directory内のコンピュータのコンピュータ名）

- DOMAIN\computername（DOMAINは、コンピュータが存在するドメインの名前、computernameは、Active Directory内のコンピュータアカウントの名前）

正しい名前を判断したら、その名前が証明書のNTPrincipalName、RFC822Name、またはCommonNameに含まれていることを確認するか、構成ペイロードのEAPClientConfigurationペイロード辞書に含めることでユーザ名を指定します。

ユーザ名のハードコードの例については、付録Bを参照してください。

SCEP

クライアントは秘密鍵と公開鍵のペアを生成した後、CSRを生成します。CSRには、ペイロードから要求された情報と公開鍵のコピーが含まれています。認証機関がCSRを処理するとき、要求された情報を使用する場合と、しない場合があります。また証明書に含まれる情報をもとに、その証明書が認証に使用できるかどうかを判断することもできます。例えば、802.1X認証では多くの場合、サブジェクト代替名がActive Directory内の有効なコンピュータアカウントに一致する必要があります。

SCEPはユーザベースの認証は行わず、ワンタイムパスワードを使用します。管理者がプロファイルを作成するとき、SCEPサーバで（通常、ウェブフォーム経由で）ワンタイムパスワードが生成され、このワンタイムパスワードがペイロードに含まれます。このパスワードは、一度使用すると再利用できません。SCEPサーバは、ワンタイムパスワードを複数回使用できるように設定することも、まったく必要がないように設定することもできます。


34

証明書の更新証明書の有効期限が近付いた場合、証明書を更新するか、新しいIDを要求することができます。802.1Xのプロファイルは特定の証明書に関連付けられているため、これらのオプションのいずれも、802.1Xサービスを認識する必要があります。古い証明書の期限が近付いたときに、自動的に新しい証明書を要求するメカニズムは存在しません。


35

Apple Inc.© 2012 Apple Inc. All rights reserved.

Apple、Appleのロゴ、AppleCare、FileVault、Finder、FireWire、iChat、Mac、Mac OS、OS Xは、米国および他の国々で登録されたApple Inc.の商標です。

UNIXは、米国および他の国々におけるOpen Group社の登録商標です。

OS X version 10.7 Lionは、Open Brand UNIX 03の登録製品です。

本書に記載されている会社名および製品名は、それぞれの会社の商標です。サードパーティ製品の紹介は情報提供のみを目的としたもので、製品を保証または推薦するものではありません。Appleは、これらのベンダまたは製品の性能または使用について一切の責任を負いません。すべての同意、契約、および保証は、ベンダと将来のユーザとの間で直接行われるものとします。本書に記載されている情報の正確性には最大の注意を払っていますただし、誤植や制作上の誤記がないことを保証するものではありません。

6/5/12


36

wp 8021x authentication 21may2012 - apple.com · • eap-sim（subscriber identity...

Documents