EAP-TLS（証明書、秘密鍵、PKCS#12、ディジタル証明書の配布方法）【ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 No.4】

ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 No.4

【出典：ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2（一部、加工あり）】

【ディジタル証明書の配布方法の検討】
　ディジタル証明書の配布方法についてJ君が検討した結果を、次に示す。
　選定したRADIUSサーバ製品は、EAP-TLSで必要になるディジタル証明書（サーバ証明書又はクライアント証明書）を発行するCA（Certification Authority）機能をもっている。サーバ証明書とクライアント証明書は、RADIUSサーバのCA機能を使って発行する。
　クライアント証明書は、情シスの担当者が本社の営業員のNPCに直接インストールすれば安全であるが、情シスの負担が大きい。そこで、本社LANに、クライアント証明書をNPCにダウンロードさせるサーバ（以下、ダウンロードサーバという）を新規に構築して、LAN経由でクライアント証明書を配布すれば情シスの負担が抑えられる。
　ダウンロードサーバによるクライアント証明書の配布案内は、無線LAN導入後に、情シスから全営業員宛てに一斉メールで通知する。案内文には、ダウンロードサーバの導入目的、利用方法、ダウンロードサーバのURLなどを記載する。その後、各営業員に、ダウンロードサーバ利用のための利用者IDとパスワードを個別に連絡する。営業員は、情シスからの案内を基に、クライアント証明書のインストールを行う。
　J君は、ダウンロードサーバの機能とクライアント証明書の運用について検討した。検討結果を次に示す。

1. クライアント証明書の管理機能
   　ダウンロードサーバは、RADIUSサーバで生成されたクライアント証明書と⑥その他にNPCで必要となる情報をRADIUSサーバからコピーし、RFC 7292で規定されているPKCS#12形式のファイルに変換して管理する。
2. NPCへのダウンロード機能
   　ダウンロードサーバは、アクセスした営業員を利用者ID、パスワードで認証し、認証を受けた営業員のNPCに、PKCS#12形式のファイルを一度だけダウンロードさせる。NPCは、ダウンロードしたファイルを直接インポートできる。
3. クライアント証明書の運用
   　情シスの担当者は、クライアント証明書の有効期限の1か月前に、RADIUSサーバでクライアント証明書を発行し、ダウンロードサーバに保管して、クライアント証明書の更新案内を当該営業員にメールで通知する。

　次に、J君は、ダウンロードサーバの設置場所について検討した。
　最初に、無線LAN経由でダウンロードサーバにアクセスさせる方法を検討した。この方法では、NPCにクライアント証明書がインストールされていないので、認証エラーになる。そこで、認証エラー時にWLCの認証VLAN機能によって、特別なVLANをAPに設定し、このVLANにダウンロードサーバを設置することを考えた。しかし、その場所にダウンロードサーバを設置すると、⑦クライアント証明書の配布に関してセキュリティ上問題がある。さらに、クライアント証明書の更新のためのダウンロードもできない。そこで、営業部オフィスエリアの有線LAN接続でアクセスできる場所にダウンロードサーバを設置することにした。無線LANに移行した後、営業部オフィスエリアをフリーアドレスにしてNPC接続用の有線LANは撤去するが、クライアント証明書の更新は無線LAN経由で可能である。しかし、⑧状況によっては、クライアント証明書をダウンロードできない本社の営業員も出てくる。その営業員には、情シスの担当者がクライアント証明書などの必要な情報をNPCにインストールして、当該営業員に渡す。
　J君は、APの設置方法とディジタル証明書の配布方法についてN主任に説明し、了承されたので、最後に、既設LANへの無線LANの接続構成の設計を行った。

⑥について、NPCで必要になる情報を二つ挙げ、それぞれ15字以内で答えよ。：CAの自己署名証明書/クライアントの秘密鍵

　EAP-TLSにおいてRADIUSサーバで生成される情報については、本文に「選定したRADIUSサーバ製品は、EAP-TLSで必要になるディジタル証明書（サーバ証明書又はクライアント証明書）を発行するCA（Certification Authority）機能をもっている。サーバ証明書とクライアント証明書は、RADIUSサーバのCA機能を使って発行する。」とあるように、サーバ証明書とクライアント証明書になります。
　このようにEAP-TLSでは、クライアント認証だけでなく、サーバ認証も行って相互に認証する仕組みになっています。
　サーバ証明書はクライアントによるサーバ認証で使用されますが、その際、CAのルート証明書が必要になります。
　今回、RADIUSサーバのCA機能でサーバ証明書を発行するので、CAのルート証明書ではなく、CAの自己署名証明書が必要になってきます。
　クライアントがサーバにアクセスする際に、サーバから受信したサーバ証明書をCAの自己署名証明書で認証した後、サーバ証明書に含まれる公開鍵で暗号化通信を行います。
　一方、クライアント証明書にはクライアントの公開鍵が含めれており、暗号化には対になる秘密鍵が必要になります。
　また、PKCS#12とは、PKCS（Public Key Cryptography Standards）と呼ばれる米国での公開鍵暗号の標準規格の一つで、証明書とその秘密鍵のエクスポートに使用できるファイル保存形式を規定したものです。

⑦の問題を、60字以内で述べよ。：ダウンロードサーバの認証情報が漏えいすると、来訪者もクライアント証明書などがダウンロードできてしまう。

　本文から解釈すると、無線LANアクセスで認証エラーになったあとでアクセスできる場所にダウンロードサーバが存在することになります。
　ダウンロードサーバは利用者ID、パスワードで認証しており、この認証情報が漏えいすると、来訪者でもクライアント証明書などがダウンロードできてしまいます。

⑧について、ダウンロードできない本社の営業員を、25字以内で答えよ。ただし、NPCの紛失、故障などで新たに貸与されるケースは除く。：クライアント証明書の有効期限を切らせた営業員（又は、無線LAN導入後に営業部に配属された営業員）

　本文から解釈すると、最初に営業員は有線LANでダウンロードサーバにアクセスして、 クライアント証明書などをダウンロードして無線LANが利用できる状態になります。
　その後、有線LANが撤去されても、クライアント証明書の有効期限内で無線LANが利用可能な状態であれば、無線LAN経由でダウンロードサーバにアクセスして、クライアント証明書の更新が可能です。
　逆に、クライアント証明書の有効期限を切らせた場合には無線LANが利用できなくなり、有線LANもないため、ダウンロードサーバにアクセスする手段がないことになります。
　また、無線LAN導入後、有線LANがない環境で、新たに営業部に配属された営業員もダウンロードサーバにアクセスする手段がありません。