ADのCA証明書の有効期限が切れてEAP(PEAP)が使えなくなった話

ども。こんばんは。

タイトルの通りですが、今日ADのCA証明書の有効期限がきれました。

サックスの練習にでかけて、家に帰ったらAndroidもmacOSもWiFiにつながらない状態に。両方とも認証エラーとなっていました。

我が家はWindows 2008 R2のサーバでネットワークポリシーサーバ(NPS)を動作させ、CiscoのAPと802.1xによる認証をしています。

ということで、Windowsサーバ側のイベントログを見ていると以下のようなログが

ネットワーク ポリシー サーバーがユーザーのアクセスを拒否しました。

詳細については、ネットワーク ポリシー サーバーの管理者に問い合わせてください。

ユーザー:
	セキュリティ ID:			xxxx
	アカウント名:			xxx
	アカウント ドメイン:			xxx
	完全修飾アカウント名:	xxx.xxx.com/Users/xxx

クライアント コンピューター:
	セキュリティ ID:			NULL SID
	アカウント名:			-
	完全修飾アカウント名:	-
	OS バージョン:			-
	被呼端末 ID:		xx-xx-xx-xx-xx-xx:SSID
	起呼端末 ID:		xx-xx-xx-xx-xx-xx

NAS:
	NAS IPv4 アドレス:		x.x.x.x
	NAS IPv6 アドレス:		-
	NAS ID:			-
	NAS ポートの種類:			ワイヤレス - IEEE 802.11
	NAS ポート:			0

RADIUS クライアント:
	クライアントのフレンドリ名:		xxx
	クライアント IP アドレス:			[WAP150のIPアドレス]

認証の詳細:
	接続要求ポリシー名:	Use Windows authentication for all users
	ネットワーク ポリシー名:		WLAN-Access_by_user
	認証プロバイダー:		Windows
	認証サーバー:		xxx.xxx.xxx.com
	認証の種類:		EAP
	EAP の種類:			-
	アカウントのセッション ID:		-
	ログ結果:			アカウンティング情報はローカルのログ ファイルに書き込まれました。
	理由コード:			22
	理由:				サーバーで拡張認証プロトコル (EAP) の種類を処理できないため、クライアントを認証できませんでした。

なるほど。わからん。

色々触って見たところ、NPSのポリシーでPEAPの編集ができなくなっていることに気づきました。

EAPを構成できません
この拡張認証プロトコルで使用できる証明書が見つかりませんでした

なるほど。うちはAD兼NPSなので、証明書の有効期限を確認したところ、CA証明書の期限が切れていました。。。

ということで「証明機関」で、「CA証明書の書き換え」をして無事復旧しました。
※ドメコンとNPSを別のサーバにしている場合は、おそらくNPSのコンピュータ証明書が切れているかもしれません。
その場合は、ローカルのコンピュータ証明書から新しい要求をすればいいと思います。今回うちは、CA証明書が有効期限切れだったので、そもそもコンピュータ証明書はリクエストはリクエストできませんでした。

うーん、また5年後に切れますが。。。というかもういい加減RADIUSのやめようかな。

でもまぁ長いこと動かしているとこういうトラブルに合うので、多少の勉強にはなるかも。

ではでは。またの機会に

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください