証明書サービスを使用してワイヤレス LAN のセキュリティを保護する

ベースライン テスト

機能テスト

運用テスト

PKI:

Microsoft インターネット認証サービス (IAS)

ワイヤレス クライアント :

ネットワーク接続

ドメイン コントローラ

IP 構成 - 動的ホスト構成プロトコル (DHCP)

名前解決サービス - ドメイン ネーム システム (DNS)

ファイル サービス - ファイル サーバー

Web サービス - インターネット インフォメーション サービス (IIS)

電子メール サービス - Microsoft Exchange 2000

ワイヤレス ネットワーク アクセス

ソリューションの脆弱性評価およびペネトレーション テスト。 この評価とテストはセキュリティ専門業者が実行しました。

サード パーティ製公開キー基盤 (PKI) との統合

以下のサーバーの役割に関する広範なテスト (ソリューションが正常に動作しているか確認するために必要なテストを除く)

以下のクライアント サービスの広範なテスト (ソリューションの機能確認には使用されました)

次のソフトウェアを実行しているクライアントは、テスト範囲から除外されました。

開発プロセスの一部として、ソリューションに対して単体テストを実施しました。

システム テスト パス 1

システム テスト パス 2

システム回帰テスト

ドメイン コントローラ、DHCP、および DNS

Web サーバー、ファイル/プリント サーバー

Microsoft Exchange Server 電子メール サーバー

Microsoft Outlook® Web Access サーバー

Active Directory® ドメイン コントローラ

ドメイン コントローラ、DHCP、および DNS (本社および支社)

Microsoft Exchange 2000 を Windows Advanced Server 2000 で実行 (本社)

Web、ファイル/プリント (本社)

MOM (本社)

ルート CA (本社)

発行CA (本社)

本社のプライマリおよびセカンダリ IAS サーバー、および支社のドメイン コントローラにインストールされているセカンダリ IAS サービス

標準的なデスクトップ クライアント

標準的なポータブル コンピュータ クライアント

標準的な Tablet PC クライアント

802.1X 対応のワイヤレス アクセス ポイント (AP) (本社および支社)

ルーティングおよび WAN シミュレーション用のデスクトップ コンピュータ

レイヤ 3 スイッチ

Windows 2000 Advanced Server (SP3)

Windows Server 2003 Enterprise Edition

Windows Server 2003 Standard Edition

Exchange 2000 (SP3)

Windows XP Professional (SP1)

Windows XP Professional (SP1) Tablet バージョン

MOM 2000 (SP1)

Microsoft SQL Server™ 2000 (SP3)

Outlook 2000 (SP1)

Windows XP Professional (SP1)

Windows XP Tablet PC Edition SP1

Certutil - これは、CA のセットアップ、構成、およびトラブルシューティングに使用できる強力な多目的の証明書サービス ユーティリティ ツールです。

Certreq - このツールは、CA からの証明書を手動で要求するときに使用します。Windows Server 2003 インストール メディアに収められています。

Ldifde - このツールは、LDAP データ交換形式 (LDIF) ファイルを使用して Active Directory の情報をインポート/エクスポートするときに使用します。 このツールは、ソリューション内の一部の証明書テンプレート関連の操作に使用されました。

Ntbackup - このツールは、ファイルの復元およびバックアップに使用します。Windows Server 2003 インストール メディアに収められています。

Dcdiag - このツールは、Active Directory フォレスト内のドメイン コントローラの状態を分析し、トラブルシューティングに役立つすべての問題を報告します。

Jetpack - このツールは、DHCP データベースの整合性を確認するために使用します。

Agenthelper - このツールは、MOM が管理するエージェント上で OnePoint サービスが動作していることを確認する MOM ユーティリティです。

PerfMon - このツールは、システム パフォーマンスのログ、警告、およびカウンタを表示します。

NetMon - このツールは、このユーティリティがインストールされているコンピュータで送受信されるネットワーク トラフィックからフレームをキャプチャおよびフィルタリングします。

IASparse - このツールは、IAS ログ ファイルを解析し、さまざまな リモート認証ダイヤルイン ユーザー サービス (RADIUS) パラメータの詳細を報告します。

EventViewer - このツールは、Windows のアプリケーション、セキュリティ、およびシステムの各監視ログを表示、フィルタリング、およびエクスポートします。

[MOM] MMC - MOM サーバーが管理するエージェントに関する情報、警告、通知、エラー、および致命的エラーのログが出力されていないか監視する MOM 管理コンソールです。

PKIHealth - このツールは、組織内のすべての CA の CRL 配布ポイント (CDP) および機関情報アクセス (AIA) を診断するために使用します。

ca_setup.wsf - このスクリプトには、証明書サービスの構成および構築に必要なジョブ コマンドが含まれています。

ca_setup.vbs — このスクリプトには、ca_setup.wsf スクリプトで定義されているジョブの実装に使用する機能コードが含まれています。

ca_monitor.wsf - このスクリプトには、CA サービスを監視するために必要なジョブ コマンドが含まれています。

ca_monitor.vbs — このスクリプトには、ca_monitor.wsf スクリプトで定義されているジョブの実装に使用する機能コードが含まれています。

ca_operations.wsf - このスクリプトには、証明書サービスの操作および監視タスクの実行中に必要なジョブ コマンドが含まれています。

ca_operations.vbs — このスクリプトには、ca_operations.wsf スクリプトで定義されているジョブの実装に使用する機能コードが含まれています。

constants.vbs - このスクリプトには、他のスクリプトで使用される証明書サービス用の定数パラメータが含まれています。

helper.vbs - このスクリプトには、証明書、IAS、および WLAN 関連のスクリプトで使用する共通の関数および変数が含まれています。

IASAccessPrep.txt - このテキスト ファイルには、IAS ログ ファイルを Microsoft Access ファイルに変換するために IAS ログ ファイルに追加されるヘッダー行が含まれています。

IASClientExport.bat - このバッチ ファイルは、IAS サーバーの RADIUS クライアント構成を "A:\" ドライブ上にテキスト構成ファイルとして出力します。

IASClientImport.bat - このバッチ ファイルは、"A:\" ドライブ上のテキスト構成ファイルから IAS サーバーへ RADIUS クライアント構成をインポートします。

IASExport.bat - このバッチ ファイルは、IAS 固有の構成をテキスト構成ファイルとして出力します。

IASImport.bat - このバッチ ファイルは、テキスト構成ファイルから IAS サーバーへ IAS 固有の構成をインポートします。

ias_tools.wsf - このスクリプトには、IAS サーバーの構成に必要なジョブ コマンドが含まれています。

ca_setup.vbs — このスクリプトには、ias_tools.wsf スクリプトで定義されているジョブの実装に使用する機能コードが含まれています。

IAS_Data.bat - このバッチ ファイルには、IAS サーバーをソリューション用に構成するために必要なコマンドが含まれています。

pkiparms.vbs - このスクリプトには、証明書サービスの構成プロセスで使用されるユーザー固有の定数が含まれています。

wl_tools.wsf - このスクリプトには、WLAN コンポーネントの構成に必要なジョブ コマンドが含まれています。

wl_tools.vbs — このスクリプトには、wl_tools.wsf スクリプトで定義されているジョブの実装に使用する機能コードが含まれています。

ユーザーとコンピュータの証明書自動登録 - ユーザーがワイヤード (有線) 接続でドメインにログオンすると、ユーザーとコンピュータに対してグループ ポリシーが適用されます。 ユーザーおよびコンピュータの認証証明書は、発行 CA によって正しく発行され、ユーザー プロファイルおよびコンピュータの個人証明書ストアで使用可能になります。

信頼されたルート ストア内のルートおよび発行 CA 証明書 - ユーザーがワイヤード (有線) 接続でドメインにログオンすると、ユーザーとコンピュータに対してグループ ポリシーが適用されます。 ユーザーおよびコンピュータの証明書ストアは、[証明書] MMC を使用して検証し、信頼されたルート証明機関フォルダの下にルート CA 証明書があるかどうかを確認します。 また、発行 CA 証明書が中間証明機関の下にあるかどうかも確認します。

IAS サーバー認証証明書 - 構築が完了し、適切なセキュリティ グループおよび組織単位 (OU) に IAS サーバーを追加したら、IAS サーバーを再起動します (コンピュータが新しいグループ メンバシップを取得するには再起動が必要です)。 各 IAS サーバーが新しい認証証明書を取得します。 これは、コンピュータの証明書ストアを表示する [証明書] MMC を使用して確認しました。

Web サーバー上で利用可能なルートおよび発行 CA の証明書と CRL - クライアント コンピュータ上の Internet Explorer から、Web サーバーの PKI 仮想ディレクトリにアクセスし、クライアントでルートおよび発行 CA の証明書および CRL を表示できるかどうか確認しました。 この確認作業では、クライアントの証明書の [詳細] タブで構成されている Hypertext Transfer Protocol (HTTP) の場所と一致する必要があります。

認証証明書を使用したネットワークへのワイヤレス アクセス - ユーザーが新しい有効なユーザーおよびコンピュータ認証証明書を取得した後、ネットワーク カードを差し込んでワイヤード (有線) 接続を削除しました。 コンピュータの再起動後、WLAN へのコンピュータ認証が行われます。 IAS サーバーのシステム イベント ログを確認することによって、WLAN へのコンピュータ認証を確認しました。 ユーザーは WLAN 経由でドメインにログオンできるようになりました。 WLAN へのユーザー認証は、IAS サーバー上で生成されたシステム イベント ログのエントリで確認しました。

支社のユーザーに対する IAS サーバーの可用性 - 支社の IAS サービスが利用できない場合、ユーザーは本社の IAS サーバーで認証を受けることができます。 このテストに必要なセットアップは、本社の IAS サーバーを支社のワイヤレス AP 上のセカンダリ IAS サーバーとして動作させることでした。 次に、支社の IAS サービスを停止しました。 この状態でもユーザーは、認証を受けてネットワークに接続することができました。 本社の IAS サーバー上のシステム イベント ログに記録された認証イベントを調べることによって、認証が確認されました。

重要度 1 または重要度 2 の未解決バグが存在しない。

すべての重要度で、優先順位 1 または優先順位 2 の未解決バグが存在しない。

すべてのソリューション ガイドにコメントおよび改訂がない。

指導チームによってすべての未解決バグに優先順位が付けられている。

テスト ラボ環境でのすべてのテスト事例が正しく完了している。

すべてのソリューション コンテンツに矛盾する記述がない。

HKCU\Software\Microsoft\Cryptography\Autoenrollment\AEEventLogLevel を DWORD 値で作成して、0 を設定します。 これにより、自動登録がアプリケーション イベント ログに記録されるようになります。 HKLM にコンピュータ登録用の同じレジストリ キーを作成します。

ワイヤレス アクセス ポイントおよび IAS サーバー上の共有シークレットが同一で正しいことを確認します (シークレット ファイルからコピーして貼り付けます)。 異なる場合は、IAS サーバーで AP が RADIUS クライアントとして認証されません。 この場合、IAS サーバーに次のいずれかのメッセージを含むエラー ログが出力されます。

IAS サーバーによって「ユーザー名が不明であるかパスワードが無効であるため、認証に失敗しました。」というイベント ID 2 の警告ログが生成された場合は、ワイヤレスのリモート アクセス ポリシーが IAS サーバー上で正しく構成されていることを確認します。 また、ユーザーが適切なワイヤレス セキュリティ グループに追加されていることも確認します。

IAS サーバーによって「証明チェーンは正常に処理されましたが、証明機関の証明書の 1 つがポリシー プロバイダによって信頼されていません。」というイベント ID 2 の警告ログが生成された場合は、現在の発行 CA の証明書に対して、IAS サーバー証明書およびユーザーの証明書が有効であることを確認します。 また、有効なルート CA および発行 CA 証明書がユーザーの証明書ストアに存在することも確認します。

SCHANNEL によって「リモート クライアント アプリケーションから受け取った証明書は正しく検証されていません。 エラー コードは 0x80096004 です。 添付されているデータにクライアントの証明書が含まれています。」というイベント ID 36877 の警告ログが生成された場合は、ユーザーおよびコンピュータのワイヤレス認証証明書が期限切れまたは無効になっていないか確認します。

診断情報の詳細については、運用ガイドの「トラブルシューティング」を参照してください。

トラブル シューティングの詳細については、ホワイト ペーパー「Windows XP の IEEE 802.11 ワイヤレス アクセスのトラブルシューティング」http://www.microsoft.com/japan/technet/prodtechnol/winxppro/maintain/wifitrbl.mspx を参照してください。

Windows XP での証明書の自動登録の詳細については、ホワイト ペーパー「Certificate Autoenrollment in Windows XP」http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/certenrl.mspx (英語) を参照してください。

PKI 拡張の詳細については、ホワイト ペーパー「Windows XP Professional と Windows Server 2003 の PKI 拡張機能」http://www.microsoft.com/japan/technet/prodtechnol/winxppro/plan/pkienh.mspx を参照してください。

Windows XP ワイヤレス展開テクノロジおよびコンポーネントの概要については、「Windows XP Wireless Deployment Technology and Component Overview」http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wificomp.mspx (英語) を参照してください。