iOS および macOS で 802.1X 認証の証明書信頼を設定する

信頼できる証明書と信頼できるサーバ名のプロパティを設定しておいて、ネットワークのセキュリティを守る方法をご案内します。

802.1X ネットワークでは、サーバ側に用意した証明書を使って、クライアントと認証サーバ間に安全な TLS 通信チャンネルを確立する場合があります。クライアントは、サーバの証明書が信頼されたものであるという確認作業を済ませてから、認証プロセスを先に進めます。構成プロファイルで証明書の信頼設定を正しくしておかないと、ユーザが 802.1X で保護されたネットワークに接続する際に、証明書の信頼に関するダイアログが表示されます。

このダイアログで、ユーザは RADIUS サーバ証明書チェーンの情報が本物かどうかを確認しなければなりません。本来のネットワークを偽装した「不正なネットワーク」にユーザがそうとは知らずに接続しようとして、無効な証明書信頼のダイアログでクリック操作を続けてしまう場合も考えられます。情報が本物かどうかを確認する術をユーザが知らない場合に、こうした状況に陥ることがあります。ユーザが有効な資格情報を不正なネットワークに提示してしまえば、本来のネットワークのセキュリティが損なわれる事態にもなりかねません。システムモードの 802.1X 構成プロファイルで証明書信頼が設定されていないと、サーバ証明書チェーンを手動で信頼するための案内画面がユーザに対して表示されないので、認証は失敗します。 

信頼できる証明書を構成プロファイルに設定する

  1. クライアントが認証を試みた際に RADIUS サーバが提示する証明書チェーンを確認します。これは、RADIUS サーバの証明書である場合や、RADIUS サーバ証明書を発行した中間証明書またはルート証明書である可能性もあります。
  2. 確認できた証明書を構成プロファイルの証明書ペイロードに追加します。
  3. 証明書プロファイルのネットワークペイロードの「信頼」セクションで、トラストアンカー (信頼点) にする証明書を探します。その証明書を「信頼できる証明書」として指定しておきます。

たとえば、環境内に RADIUS サーバを 1 台設置している場合は、その RADIUS サーバ証明書か、その証明書を発行した証明書をトラストアンカーにします。RADIUS サーバが複数あり、どの証明書も同じルート証明書または中間証明書から発行されている場合は、そのルート証明書か中間証明書をトラストアンカーにしておけば、すべての RADIUS サーバが信頼されることになります。

こうした証明書信頼設定を済ませておけば、macOS 802.1X システムモードやログインウインドウモードが機能するようになります。

信頼できるサーバ名を構成プロファイルに設定する

信頼できるサーバ名をさらに設定しておけば、RADIUS サーバ証明書を信頼するかどうかをユーザが確認する必要がなくなります。RADIUS サーバ証明書のコモンネーム (通称) に一致する値を使います。大文字と小文字は区別されます。ドメインが同じ複数の RADIUS サーバを表すため、値にワイルドカードを含めることもできます。詳しくは、「Apple Developer 構成プロファイルリファレンス」の「EAPClientConfiguration 辞書」を参照してください。

公開日: