【EPS技術記事】「 Windows 11 」で無線LAN（WPA3-Enterprise 192bitモード）に接続する方法 ～ 電子証明書による認証（EAP-TLS）編 ～

はじめに

Windows11 24H2 で WPA3-Enterprise 192bitモード(WPA3 CSNA)の動作条件が厳格化されました。
この影響により、Windows11 23H2から24H2にアップデートした際に、Wi-Fiへの接続ができなくなるといった現象が確認されています。

Windows11 24H2 で WPA3-Enterprise 192bitモードを使用するためには、
CA証明書、サーバー証明書、クライアント証明書の暗号化ハッシュ関数がRSA 3072bit以上の鍵長である必要があります。

参考(Microsoft Learn)：https://learn.microsoft.com/ja-jp/windows-server/networking/technologies/extensible-authentication-protocol/network-access?tabs=eap-tls%2Cserveruserprompt-eap-tls%2Ceap-sim#wpa3-enterprise-192-bit-mode

NetAttest EPS の V5.2.4以降では、RSA 4096bitsの鍵長を使用した証明書の発行が可能になりました。
そこで本記事では、NetAttest EPSで発行した証明書を用いてWindows 11にて無線LAN（WPA3-Enterprise 192bitモード）に接続する際の設定手順をご紹介します。

☆ 制限事項

• EPSのファームウェアバージョンは v5.2.4 以降である必要があります。
• 端末のネットワークアダプタがWi-Fi 6 (802.11ax)  に対応している必要があります。
• 無線APは「WPA3-Enterprise 192bit Security 」に対応している必要があります。

1. 構成

本記事では、下記の環境での利用を想定しています。・クライアント端末のバージョン：Windows11 24H2
・無線APのSSID：soliton_wireless_3
・NetAttest EPS
　　- バージョン：v5.2.5
　　- 各証明書の鍵長：4096 bit
・クライアント証明書は、NetAttest EPSで発行したPKCS#12形式のファイルを使用します。
　CA証明書はこのファイル内に含まれています。

2. Windows 11への証明書インポート

NetAttest EPSで発行したPKCS#12形式の証明書ファイルをWindows 11端末にてダブルクリックして開きます。証明書のインポートウィザードが起動します。

1. 証明書の保存場所の指定

保存場所はユーザーストアとコンピュータストアの2種類があります。
今回はユーザー認証を行うため、ユーザーストアを指定します。
※ コンピュータストアへ証明書をインポートする場合には、端末の管理者権限が必要です。

2. インポートする証明書ファイルを選択

証明書ファイルの保存場所とファイル名が表示されますので、そのまま次へ進みます。

3. 秘密キーのパスワード入力

秘密キーのパスワード入力画面にて、証明書ファイルのパスワードを入力します。
このパスワードは証明書を発行する際に設定した値となります。
#パスワードは大文字・小文字を区別します。
#下記のインポートオプションはオフのままにしておきます。
・秘密キーの保護を強力にする
・このキーをエクスポート可能にする
※ 秘密キーが流出するとこの証明書の信頼性が失われます。

4. 証明書ストアの選択

証明書をインポートするストアを選択します。
今回は自動選択とします。
次へ進むと証明書のインポートが開始されます。

5. CA証明書のインポート

[セキュリティ警告]ダイアログが表示されます。
そのまま[はい]をクリックし[正しくインポートされました]と表示されれば完了です。
※既にCA証明書がインポートされている場合には表示されません。

以上で、「証明書のインポートウィザード」を使用した証明書のインポートは完了です。

3. Wi-Fiサプリカントの設定

Wi-Fiサプリカントの設定を行います。
今回は「SSID：soliton_wireless_3」を使用します。

1. ネットワークと共有センターを開く

｢コントロールパネル｣-｢ネットワークとインターネット｣より「ネットワークと共有センター」をクリックします｡

2. ネットワーク設定の変更

「新しい接続またはネットワークのセットアップ」をクリックします。

3. 接続オプションの選択

接続オプション選択画面にて
「ワイヤレスネットワークに手動で接続します」を選択します｡
 

4. 追加するワイヤレスネットワーク情報の入力

SSIDやセキュリティの種類を指定し、「次へ」ボタンをクリックします。
ネットワーク名：soliton_wireless_3
セキュリティの種類：WPA3-エンタープライズ 192ビット
 

5. 接続の設定の変更

「接続の設定を変更します」をクリックします。
※接続に成功するまでこの画面は閉じずに残しておきます。接続に失敗した際に設定の編集が可能です。

6. ワイヤレスネットワークのプロパティ

「ワイヤレスネットワークのプロパティ」画面の「セキュリティ」タブをクリックします。
 

7. ネットワーク認証方法の選択

「ネットワークの認証方法の選択」のプルダウン設定にて
「Microsoft: スマートカードまたはその他の証明書」を選択し、[設定]ボタンをクリックします｡

※ 注意
「暗号化の種類：GCMP-256」はEAP-TLS認証（証明書認証）のみに対応します。
PEAP認証を選択してもエラーが表示されて設定できません。

8. 証明書のプロパティ 

信頼されたルート証明機関として、今回インポートしたCA証明書を選択します。
設定後「OK」ボタンをクリックします。

9. 詳細設定

「ワイヤレスネットワークのプロパティ」画面に戻り「詳細設定」ボタンをクリックします｡  

10. 認証モードの指定

「802.1Xの設定」タブの「認証モードを指定する」をチェックし、プルダウンメニューを 「ユーザー認証」 にセットします｡
画面下部の 「OK」 ボタンをクリックします。

以上で、サプリカントの設定は完了です｡ 

4. Wi-Fiに接続

画面右下のネットワークアイコンから「SSID：soliton_wireless_3」 に接続します。
※同じ認証局から発行された複数のクライアント証明書が存在する場合は証明書の選択を促されますので、利用したい証明書を選択してください。

以上で、Wi-Fiへの接続完了です。

「設定」>「ネットワークとインターネット」>「Wi-Fi」より、「WPA3-エンタープライズ」にて接続されていることが確認できます。