Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EAP-TTLS認証用のクライアントデバイスの設定

このトピックでは、拡張認証プロトコル-トンネル TLS(EAP-TTLS)認証用にクライアント デバイスを構成する方法について詳しく説明します。この手順では、例としてAppleクライアントデバイスを使用します。

Juniper Mist Access Assuranceを使用する場合、AppleデバイスでEAP-TTLS/PAP(認証情報ベース)認証を使用する場合は、追加の設定が必要です。このタスクでは、無料の Appleコンフィギュレーターツールを使用してプロファイルを作成する必要があります。

手記:
ログインプロンプトでSSIDをクリックしてユーザー名とパスワードを入力しても、Appleデバイスでは機能しません。Apple デバイスでは、クラウドベースの ID プロバイダーでサポートされていないパスワード ハッシュ アルゴリズムを使用する PEAP-MSCHAPv2 または EAP-TTLS/MSCHAPv2 認証方法が使用されます。
Wi-Fi プロファイルを作成するには:
  1. Juniper Mistサーバー証明書をダウンロードします。

    クライアントデバイスがMist Access Assuranceサーバー証明書を信頼するためには、Mist証明書がWi-Fiプロファイルに含まれている必要があります。

    1. Juniper Mistポータルで、[組織>アクセス>証明書]に移動します。
      認証局 ページが表示されます。
      図1: Mistサーバー証明書View and Save Mist Server Certificateの表示と保存
    2. [Mist 証明書の表示] をクリックし、証明書の詳細をコピーします。
      証明書を 拡張子が .crt のファイルとしてローカルに保存します。例: mist-cert.crt

      独自のカスタムサーバー証明書を使用している場合は、Juniper Mist証明書をダウンロードするのではなく、この手順で認証局(CA)証明書をダウンロードします。

  2. Appleクライアントデバイスで新しいプロファイルを作成します。
    1. Mac コンピュータで Apple コンフィギュレータツールを開き、「ファイル」>「新規プロファイル」をクリックします。
      図2:AppleクライアントWi-Fi Profile Configuration for Apple ClientのWi-Fiプロファイル構成

      新しい構成プロファイル文書が開きます。

    2. Apple コンフィギュレーター ツールの左側のナビゲーション バーで、[証明書] > [構成] をクリックします。
      図3:AppleクライアントUpload Juniper Mist Server Certificate in Wi-Fi Profile Configuration for Apple ClientのWi-Fiプロファイル構成でJuniper Mistサーバー証明書をアップロードする
      前の手順でダウンロードした Mist 証明書を選択してアップロードします。
    3. Apple コンフィグレーターツールの左側のナビゲーションバーから [Wi-Fi] を選択し、[設定] をクリックします。
      図4:AppleクライアントWi-Fi Profile Configuration for Apple ClientWireless Profile Configuration for Apple ClientのWi-Fiプロファイル構成

      Wi-Fi 設定に次のオプションを入力します。

      図5:AppleクライアントSettings in Wi-Fi Profile Configuration for Apple ClientのWi-Fiプロファイル構成の設定
      • SSID - ネットワークの SSID。大文字を含む正しいSSIDを入力していることを確認します。
      • セキュリティ タイプ:WPA2/WPA 3 エンタープライズ
      • 受け入れられる EAP タイプ - TTLS を選択し 、[接続単位のパスワード] を選択します。
      • 内部認証 - PAP
    4. 同じページの [エンタープライズ設定] で、[信頼] をクリックします。このページには、アップロードされた証明書の一覧が表示されます。
      図6:AppleクライアントTrust Juniper Mist Server Certificate in Wi-Fi Profile Configuration for Apple ClientのWi-Fiプロファイル構成でJuniper Mistサーバー証明書を信頼 する
      Juniper Mist証明書を選択します。この手順により、クライアントデバイスはJuniper Mistサーバー証明書を信頼できるようになります。

      これで、Appleクライアントに配布できます。

    5. 設定を保存します。
      図 7: Wi-Fi プロファイル構成の保存 Save Wi-Fi Profile Configuration
      プロファイルに署名するには、Appleが信頼した証明書が必要です。この手順は、運用環境で使用するために必要です。
    これで、証明書を Apple クライアントに配布できます。

テストまたはラボで使用するために EAP-TLS のネットワーク プロファイルを作成する方法については、次のビデオをご覧ください。

But how do you configure your client devices based on different operating systems? So you use certificates to authenticate to a Wi-Fi network.

Note that this video is only useful if you're doing lab testing, if you' re actually using your test certificates. And this is not designed for production environments. But in production environments, clients are typically configured by MDMs or group policies or any other onboarding solutions. And none of these steps are required in production. We are just talking about simple lab tests so you could repeat these steps in your testing environment.

So first platform we'll talk about is iOS, or actually iOS, MacOS, and iPadOS. The steps are identical for all the three platforms. So what we will need to do to configure test clients that are running Apple operating systems is the Apple Configurator utility that you can download from Apple directly. It only works on MacOS, obviously. But that's how you configure profiles manually.

So go to Apple Configurator. You'll create a new profile. And we'll just say this is our mist secure net profile. What we are interested in here is Certificate section. We'll need to import the client certificate we've generated in the previous step. So we're going to click Configure. I have my test lab client PFX th at we've exported from a different video.

We'll need to provide a password that we used during the export. I think it's "1234." Great. So our client certificate has been importe d. The other certificate we will need is actually the server certificate that we will display from mist access assurance when client will try to connect. This server certificate is actually available here. So we'll copy this. Save it as a text file. And then save it in the same folder. And we'll call it mist-certificate .crt. So now we'll go back to our profile. We'll import one more cert. And we'll import the Mist certificate in here. Now, the next step is to configure the Wi-Fi profile. So we'll config ure Wi-Fi profile. This is where we'll put our SSID name. And our SSID name was mist-securenet. Just make sure you're using the one you've configured. Under Security Type, we'll use WPA3 Enterprise. Unless you're using an older device, WPA3 is supported on all the Apple - recent Apple products, I should say.

Under Protocols, we'll select TLS because we want to use certific ates to authenticate. We'll then select the client certificate that we' ve imported in the previous step. We'll then go to Trust section. And this is where we are saying client will trust the mist certificate when it will try to authenticate to th e network. So we are doing this mutual trust in here. So in this phase, the client trust the server. The server, in this case, is mist access assurance. In this section, client presents its client certificate. And mist access assurance will have to trust the client cert. We'll then go ahead and save this profile. And this will be saved as .mobileconfig file. And now, how do we distribute this? Obviously, if you're on a Mac , you could go and double-click and install it. But we can also distribute this to our clients using AirDrop, for instance. Now, I will distribute this to my iPad through AirDrop.

関連ドキュメント