FreeRadiusとOpenWrtを使ったWPA Enterprise (EAP-TLS)の設定 (2)

2. WPA Enterprise用のAPのセットアップ(OpenWRT)

/etc/config/wirelessを編集します。例として次のようになります。パスコードは、FreeRADUSの/etc/freeradius/clients.confで指定したパスコードになります。

例)

config wifi-iface 
        option device 'radio1' 
        option network 'lan' 
        option mode 'ap' 
        option ssid '{MyAP}' 
        option encryption 'wpa2+ccmp' 
        option auth_server '{radius IP}' 
        option auth_secret '{secret}'

3. クライアントのセットアップ

Linux Desktop

Network Managerの設定でEdit Connectionを選択します。

  • Security: WPA & WPA2 Enterprise
  • Authentication: TLS
  • Identitiy: Client mail address
  • User certificate: select a file
  • CA certificate: select a file
  • Subject match: N/A
  • Alternative subject matches: N/A
  • Connect to these servers: N/A
  • Private key: select a file
  • Private key password: <radiuspass>

macOS

Apple Configurator 2を使うか、次のように方法を使います。

ca.pem、#p12ファイルをクリックします。Keychain AccessでCA証明書とClient証明書を確認します。

CA証明書:

Launchpad -> Keychain Access -> Keychain(System)-Category(Certificates)

Client証明書:

Launchpad -> Keychain Access -> Keychain(System)-Category(My Certificates)

ドロップダウンリストでAlways Trustに変えます。

接続完了です。

 

Windows 7 (Windows 10もほぼ同じです)

Command Promptからmmcを立ち上げます。

Snap-insの中からCertificatesを選択肢ます。

File>Add/Remove Snap-in…Computer accountを選択します。

CA証明書をインポートします。Trusted Root Cetification>Certificatesのフォルダを選択してAll Tasks>Import…を選択します。

 

 

 

同様にPersonal -> Certificates -> All Tasks -> Import…からClient証明書インストールします。

Client証明書のパスコードを入力します。

 

コントロールパネルのネットワークの接続設定でマニュアルによるWi-Fi接続を選択します。

SSID名を入力、Security type:WPA2-Enterpriseを選択します。

 

認証方式をMicrosoft: Smart Card or other certificateを選択します。

settingのなかでインポートしたCA証明書を選択します。

一つ手前に戻り、Advanced settingsSpecify authentication mode:Computer authenticationを選択します。

以上で設定は完了です。

Windows Phone

メールにCA証明書(pem形式)とClient証明書(#p12形式)を添付してWindows Phoneに送ります。届いたら添付ファイルをそれぞれクリックすればインポートできます。

 

 

Android

CA証明書(pem形式)とClient証明書(#p12形式)をSDカードに入れて、Settings>Security>Install from SD cardからインポートします。Credential use:Wi-Fiを選択します。

 

 

インポートが済んだらWi-Fi設定でSSIDを長押して、Modify networkを選択します。

  • EAP method: TLS
  • CA certificate: ドロップダウンリストから選択
  • Domain: N/A
  • User certificate:ドロップダウンリストから選択
  • Identity:mail address
  • Adcvanced options: proxy設定がある場合

以上で設定が完了です。

Chromebook

ブラウザでchrome://settings/certificatesと入力します。

Authoritiesのタブを開きCA証明書をインポートします。次にYour Certificatesのタブを開き、Import and Bind Device…のボタンを押しClient証明書をインストールします。

証明書のインストールが終わったらWi-FiネットワークのSSIDを選択し次のように設定します。

  • SSID: MyAP
  • EAP method: EAP-TLS
  • Phase 2 authentication:N/A
  • Server CA certificate: ドロップダウンリストからCA証明書選択
  • Subject Match: N/A
  • User certificate: ドロップダウンリストからClient証明書選択
  • Identity: mail address
  • Password: N/A
  • Annoymous Identity: N/A

以上で設定が完了です。