PEAP、EAP-TLSいずれの場合でも、クライアント(サプリカント)にはCA証明書が必要である。
RADIUSサーバの公開鍵についている署名を、CA証明書の公開鍵で検証するからだ。

CAを立てた後、クライアントでCA公開鍵を取得する方法を説明する。

①ブラウザでCAのURL(https://IPアドレス/certsrv)にアクセスする
認証画面が出るので、ADのアカウント名でログインする。
名称未設定 1









②「CA証明書、証明書チェーン、またはCRLのダウンロード」をクリック。
名称未設定 1














③確認画面が出るので、「はい」をクリック。
④CA証明書を選択して、「CA証明書のダウンロード」をクリック。
名称未設定 1






















⑤ダウンロードしたファイルを開いて、「証明書のインストール」をクリック。
名称未設定 1

















⑥「証明書をすべて次のストアに配置する」を選択し、「信頼されたルート証明機関」を選択する。
名称未設定 1










⑦そのまま進むと、インストール完了。
途中で出てくる警告なども、きちんと目を通しておくとよい。

⑧IEの「ツール」→「インターネットオプション」→コンテンツタブ→証明書→信頼されたルート証明機関で、インポートしたCA証明書があることを確認する。
名称未設定 1