ADCSとNPSを使ったEAP-TLSの無線LANを構築

• URL: https://zenn.dev/8chikuwa3/articles/d43ffd966c0283
• 日付: 2026-06-26
• Tier: Tier 3
• 要旨: Active Directory証明書サービス（AD CS）とネットワークポリシーサーバ（NPS）を組み合わせてEAP-TLSによる802.1X認証の企業無線LANを構築する手順を詳述した記事。PKI証明書の発行・自動配布・自動更新をADと連携させることで、クライアント端末への証明書配布をグループポリシー経由で自動化できる。WPA3エンタープライズ192ビットモードに対応する場合、CAの鍵長とハッシュアルゴリズムをRSA 3072bit / SHA384以上にする必要があり、既存CAを再生成が必要になるケースも解説している。

詳細

• 構成要素: NPS（RADIUSサーバ）、AD CS（エンタープライズCA）、ADドメイン環境
• 構築ステップ:
  1. NPSをADに登録（RAS and IAS Serversグループに追加）
  2. RADIUSクライアント設定（netsh nps add clientコマンドで一括追加可能）
  3. ネットワークポリシー設定: EAP種別「Microsoftスマートカードまたはその他の証明書」を選択、低セキュリティ認証を無効化
  4. エンタープライズCA（ルートCA）をインストール
  5. 証明書テンプレート作成: 「コンピュータ」テンプレートを複製、自動登録権限付与
  6. GPOで証明書自動登録設定: [公開キーのポリシー]-[証明書サービス クライアント – 自動登録]
  7. GPOで無線プロファイル配布
• WPA3 192ビットモード対応条件（全て同時に満たす必要あり）:
  • ルートCA証明書: RSA 3072bit以上 / SHA384以上
  • NPSサーバ証明書: 同上のテンプレートから再発行
  • 証明書テンプレート: キーサイズ3072bit以上、ハッシュSHA384以上
• ドメインコントローラーの証明書ベース認証変更対応: OID（1.3.6.1.4.1.311.25.2）拡張付き証明書が必要。2022年5月以降の更新プログラム適用で対応可能
• 確認コマンド: certlm.mscで信頼されたルート証明・中間証明・個人の証明書配布状況を確認