7-3(1) iOS6.1系(iPhone,iPad,iPod touch)のPEAP設定(CA証明書をインストールしない方法)

iPhone、iPad、iPodtouchなど、AppleのiOSでもPEAP認証は使える。
とても簡単である。

まず、設定で802.1x認証用を有効にしたネットワークを選択する。(ここでは、aruba-1xとする)
001

ユーザ名とパスワードを聞かれるので、入力する。
003

RADIUSサーバの証明書の確認画面が出てくる。CA証明書を設定していなため「未検証」と表示されるが、「了解」をタップすれば接続できる。
004

「詳細」を開くと、証明書の詳細情報を見ることもできる。
005

7-3(2) iOS6.1系(iPhone,iPad,iPod touch)のPEAP設定(CA証明書を信頼させる方法)

iOSでは、CA証明書をインストールせずにPEAP設定した場合、証明書が「未検証」となってしまう。
「未検証」ではなく、きちんとCA証明書をインストールして使うときの手順を説明する。

(1)WindowsかMacを使ってAppleのサイトから「iphone構成ユーティリティ」をダウンロードし、インストールしておく。ツールの名前は「iPhone」だが、iPadやiPod touchなど、iOSであれば利用できる。

(2)ホスト側のOSに、インストールしたい証明書をダウンロードし、インポートしておく。

(3)iPhone構成ユーティリティを起動し、iPhone/iPad/iPod touch(以下、iOSデバイスと呼ぶ)を接続する。
001

(3)「構成プロファイル」の作成
構成プロファイルをクリックし、「新規」をクリックする。
ここでは、iOS機器にインストールする構成プロファイル(証明書とWiFi設定)を作成する。
002

「一般」をクリックし、プロファイルの名前や識別子の名前を入力する。
004

「資格情報」→「構成」をクリックする。
005

ホスト側(WindowsやMac)にインストールされている証明書が表示されるので、CA証明書を選択する。
006

「WiFi」→「構成」をクリックする。
008

SSIDを入力し、セキュリティの種類で「WPA/WPA2エンタープライズ」を選択する。
プロトコルの「対象ネットワークでサポートされる認証プロトコル」は「PEAP」をチェックする。
009

「認証」をクリックする。構成プロファイルにユーザ名・パスワードを設定するのであれば
入力する。ひとつのプロファイルを多数のiOSデバイスにインストールするのであれば空欄
にしておく。
010

「信頼」をクリックし、「資格情報」でインポートしたCA証明書の名前にチェックを入れる。
011

プロファイルの作成はこれで終わりだ。特に保存ボタンはない。自動的に保存される。

(4)構成プロファイルのインストール

出来上がった構成プロファイルをiOSデバイスにインストールする。
iOSデバイスをUSB経由で接続すると、デバイスのところに表示される。
デバイスを選択し、「構成プロファイル」タブに移動すると、作成した構成プロファイルが表示されている。
プロファイル名の右にある「インストール」を押すと、インストールが始まる。
012

iOSデバイス側の画面に「プロファイル」が表示されるので、インストールをタップする。
パスコードを聞かれるので入力する。
013

ルート証明書の確認メッセージが出るので、「インストール」をタップ。
013-1

ユーザ名を聞かれるので、PEAP認証用のユーザ名(RADIUSサーバに登録しているユーザ名)を入力する。
015

パスワードを聞かれるので、PEAP認証用のパスワードを入力する。
016

「完了」をタップすると設定は終わり。
017

念のため、「詳細」も確認しておこう。CA証明書が表示されているはずだ。
018

WiFi設定のところに移動すると、構成プロファイルで設定したSSIDが見える。タップするとPEAPで接続できる。
023

7-3(4) iOS6.1系(iPhone,iPad,iPod touch)のEAP-TLS設定(CA証明書を信頼させる方法)

iOS(iPhone,iPad,iPod touch)のEAP-TLS設定で、証明書未検証の警告を出さないための方法。
iPhone構成ユーティリティの操作性がイマイチで、スマートではない。しかし、これ以外の方法で「未検証」の警告を出さずにEAP-TLSを設定する方法が見つかっていない。

作業の流れは次のとおり。
①PKCS#12のPCへのインストール
②iPhone構成ユーティリティで、CA証明書とクライアント証明書・秘密鍵ペアのインポート
③iPhone構成ユーティリティで、WiFi設定を構成
④iOSデバイスへのインストール

①PKCS#12ファイルのPCへのインストール
iPhone構成ユーティリティを使ってプロファイルに証明書を含める場合、あらかじめiPhone構成ユーティリティを起動するPCに証明書類をインポートしておかなければならない。(iPhone構成ユーティリティで、直接.cerや.p12ファイルを指定できればスマートだが、そういう機能は現状ない)

PKCS#12ファイル(拡張子.p12)をダブルクリックすると、証明書インポートウィザードが出てくる。
001

インポートするファイル名を確認する。
002

PKCS#12ファイルに設定したパスワードを入力する。
このとき、「このキーをエクスポート可能にする」にチェックを入れる。iPhone構成ユーティリティがキー(秘密鍵)を取り出すためだ。
003

証明書ストアは自動でよい。
004

確認画面で、「完了」をクリック。
005

インポート完了。
006

②iPhone構成ユーティリティで、CA証明書とクライアント証明書・秘密鍵ペアのインポート
iPhone構成ユーティリティを起動する。

構成プロファイルを選び、左上の「新規」をクリックする。
007

プロファイルの名前と識別子を入力する。わかりやすい名前にしておこう。
008

「資格情報」を選び、「構成」をクリック。
009

証明書の選択画面が出るので、CA証明書を探して「OK」をクリック。
010

資格情報にCA証明書が出てきたことを確認し、さらに「+」をクリック。
011

今度はクライアント証明書を探しだし、「OK」をクリック。
012

識別子エクスポート用のパスワードを決めて入力。※1
013

証明書に、CA証明書とクライアント証明書の2件が登録されたことを確認する。
014

③iPhone構成ユーティリティで、WiFi設定を構成
続けてWiFiを構成する。

Wifiを選択し、「構成」をクリック。
015

SSIDを入力し、セキュリティの種類を「WPA/WPA2エンタープライズ」にする。
016

「プロトコル」でTLSにチェックを入れる。
017

「認証」で、「固有名証明書」にインポートしたクライアント証明を指定する。
018

「信頼」で、インポートしたCA証明書をチェックする。
019

④iOSデバイスへのインストール

iOSデバイスをUSB経由で接続する。
「デバイス」でインストール先のデバイスを選択し、「構成プロファイル」タブで構成プロファイルをインストールする。
020

iOS側で確認画面が出てくるので、「インストール」をタップ。
021

確認画面で「インストール」をタップ。
022

パスコードを入力。
023

インストール完了画面が出てくるので、「完了」で終了。
024

「WiFi」で、作成したプロファイルのSSIDをクリックすると、EAP-TLSで接続できる。
026