macOS Mojaveにアップグレード後、
会社のWPA2 エンタープライズ(PEAP/MSCHAPv2方式)の
Wi-Fiに接続しようとしても認証エラーが発生して接続できません。
無線アクセスポイントメーカーのサポートからは
TLS接続で失敗していると言われています。
macOS MojaveでWPA2 エンタープライズの
接続方式に変更があったのでしょうか?
MacBook, macOS Mojave (10.14)
同様の現象で困っている方もいるかと思いますので、
情報共有します。
推論を含みますが、結論から言うとMojaveにてサーバー証明書の検証が
厳格化されたことが要因と思われます。
PEAP認証で、RADIUSサーバーから送られるサーバー証明書が独自(オレオレ)証明書かつ
有効期限切れが近い場合、Mojaveはそのサーバー証明書の受け入れを拒否するようです。
独自(オレオレ)証明書でも有効期限が十分に先(30年後など)であれば、
PEAP認証できました。
無論、PEAP認証なので構成プロファイルを作成して読み込ませるといった
余計な手間は必要としませんでした。
同様の現象で困っている方もいるかと思いますので、
情報共有します。
推論を含みますが、結論から言うとMojaveにてサーバー証明書の検証が
厳格化されたことが要因と思われます。
PEAP認証で、RADIUSサーバーから送られるサーバー証明書が独自(オレオレ)証明書かつ
有効期限切れが近い場合、Mojaveはそのサーバー証明書の受け入れを拒否するようです。
独自(オレオレ)証明書でも有効期限が十分に先(30年後など)であれば、
PEAP認証できました。
無論、PEAP認証なので構成プロファイルを作成して読み込ませるといった
余計な手間は必要としませんでした。
> MojaveでWPA2 エンタープライズの接続方式に変更があったのでしょうか?
それはあり得ないと思うけど。Radius認証方式をAppleが勝手に変えたら使い物になりません。
TLS接続って、貴社では各ユーザごとにクライアント用の証明書を配布してるのですか?
Radius 認証は、ユーザごとの証明書を省略できるTTLSの方が多いのではないと思いますが。
いずれにしろ、現在のプロファイルを削除して、Radius認証用のプロファイル(ネットワーク管理室で用意してるのでは?)を再インストールしてみてはどうですか?OSのメジャーバージョンアップで認証接続がうまくいかなくなることはままありますので。また本当にTLS接続なら、現在の証明書を削除して、証明書も再インストールしてみるとか。
返信ありがとうございます。
TLS接続と言っているのはPEAP方式における認証シーケンスの中で、
RADIUSサーバーから送られる証明書を使って暗号トンネルを
確立する部分になります。
このためRADIUS認証用のプロファイルも証明書のインストールも
本来必要ないものです。
念のため、キーチェーンに残っていた取り込み済みの
RADIUSサーバー証明書を削除してみましたが
結果は変わりませんでした。
> RADIUSサーバーから送られる証明書を使って暗号トンネルを確立
それはTTLSでは?
またプロファイルが必要ないとのことですが、大分前はプロファイルなくても、802.1Xの設定はシステム環境設定>ネットワークのWiFiのタグの詳細を開ければマニュアルで設定できましたが、現在ではできないのでは?このためプロファイルで設定するのが必須と思いますが。まっさらのel capitanで見てみましたが、802.1Xのタグはありますが、マニュアルでは何も設定できません。構成プロファイルを追加しろと出てくるだけです。まっさらのMojaveでも同じです。現在の802.1Xの設定は、802.1Xのタグのところを開けるとプロファイルの削除のボタンがありますので、そのボタンをクリックすれば削除できると思います。
ひょっとしたら、構成プロファイルも、Mojaveのリリースに合わせてリリースされた最新のApple Configurator 2で作り直す方が良いのかも。
macOS MojaveでWPA2 エンタープライズ(PEAP/MS CHAPv2)の認証ができない
