日時 | |
関係者(共同研究者) | |
UPKIサーバ証明書によるEAP-TLSによるeduroamへの接続
UPKIサーバ証明書をRadiusサーバのサーバ証明書に使用し、プライベートCAから発行したクライアント証明書を使用して、EAP-TLSによるeduroamへの接続ができましたので、ご報告申し上げます。Xperiaは、PEAPやTTLSには対応していませんので、TLSでのみ、接続できます(Android OSを2.1にバージョンアップしたら、PEAP,TTLSにも対応になりました1)。)。
また、検証端末は、NTT DocomoのスマートフォンであるXperiaを使用しました。
◎端末環境
仕様機種: ソニー・エリクソン SO-01B (Xperia; android 1.6)
認証方式: EAP-TLS
暗号方式: WPA2-AES
クライアント証明書: プライベートCA発行-証明書
※Xperiaは、PEAPやTTLSに対応していないので、TLSによる認証となっています。
◎Radius サーバ
OS: CentOS 5.3
ソフト:freeradius-server-2.1.6
サーバ証明書: UPKI-オープンドメイン証明書2)
◎Xperiaへの証明書のインストールの仕方
microSDカードのルートディレクトリに、PEM形式のファイルを置けばよいようである。CA証明書、クライアント証明書、プライベートキーの3つファイルをPEM形式に変換し、かつ、拡張子をpemにすることで、利用できる。
pfxの拡張子も証明書として選択できるが、なぜか、pfxからは、読み込んでも正常に動作しないので、断念した。
CA証明書ファイルには、サーバ証明書の認証局の情報とクライアント証明書の認証局の情報を書き込んでおいた。おそらく、サーバ証明書の証明局だけの情報で十分であろう。
#XperiaのWi-Fiの設定について、説明書を読んでも、詳しく書いてなくて、残念でした。証明書の仕様などが分かりましたら、加筆していきますので、参考程度にお願いします。(参考:http://github.co…)
◎Radiusサーバへの信頼CAの登録
Radiusの信頼CAファイルには、クライアント証明書の認証局の証明書を登録しておく。
◎動作確認 無線LAN アクセスポイント
・Proxim AP-40003)
・AT-TQ24034)
・WAPS-HP-AM54G545)
これによって、RADIUSサーバの証明局は、Windows端末などに既に登録された証明書のため、PEAPやTTLSによる利用者には、新たに証明書を配布しなくても利用できるメリットがある。
また、スマートフォンのように製品仕様によって、TLSのみにしか対応していない機器もeduroamが利用できる。
以上。
【関連ノート】
・Xperiaの証明書関係の対応状況6)