EAP-TLSとは、Extensible Authentication Protocol - Transport Layer Securityの略である。

特徴
・サーバ側・クライアントが双方に証明書が必要である。
 →クライアントへの配布管理の手間がかかる
・セキュリティは高い。クライアントの証明書で認証するから。

名称未設定 11


















必要なものは、
・AP・無線LANコントローラ
・RADIUSサーバ
・認証局
である。(PEAPと同じ)
WindowsServerで構築する場合、ADでユーザを管理し、認証局・RADIUSサーバでもADのユーザ情報を利用している。

名称未設定 13















図は簡略化している。①~④のシーケンスは実際にはもう少し複雑である。

①~④ では、RADIUSサーバのサーバ証明書と署名をサプリカントに送り、サプリカントではCA証明書の公開鍵を使ってRADIUSサーバの真正性を確認している。サプリカントがRADIUSサーバに送った証明書と署名を、RADIUSサーバでも確認している。
ポイントは、APやWLC(オーセンティケータ)は、EAPOLとRADIUSの相互変換を行っているだけで、内容の判断は行っていない点である。したがって、オーセンティケータは認証のためのユーザデータベースは持っていないし、証明書も必要ない。(PEAPと同じ)