minto.tech スマホ(Android/iPhone)・PC(Mac/Windows)の便利情報をお届け! 月間アクセス160万PV!スマートフォン、タブレット、パソコン、地デジに関する素朴な疑問や、困ったこと、ノウハウ、コツなどが満載のお助け記事サイトはこちら!
※本ページにはプロモーション(広告)が含まれています
社内Wi-Fiに接続しようとしたとき、「証明書が無効です」「ネットワークに接続できません」というエラーが表示され、社員全員が一斉に接続できなくなった——これはWi-FiエンタープライズのEAP-TLS認証に使われているクライアント証明書またはサーバー証明書が期限切れになったときに起きる典型的な障害です。
EAP-TLS(Extensible Authentication Protocol – Transport Layer Security)は企業・学校・公共機関のWi-Fiで広く使われているセキュアな認証方式ですが、証明書の期限管理を怠ると突然すべての端末が接続不能になります。本記事では、この問題の原因から証明書の更新手順、再接続方法まで詳しく解説します。
この記事でわかること
- EAP-TLSとWi-Fiエンタープライズ認証の基本的な仕組み
- 証明書期限切れで接続できなくなる原因と仕組み
- クライアント証明書・CA証明書・サーバー証明書それぞれの更新手順
- Windows・macOS・Android・iOSでの証明書インポート方法
- 再発防止のための証明書管理ベストプラクティス
EAP-TLS認証とは?基礎知識
EAP-TLSは、Wi-Fiに接続する際にパスワードの代わりに「デジタル証明書」を使って本人確認を行う仕組みです。銀行カードとPINのたとえで言えば、EAP-TLSはカード自体(証明書)を使った認証で、パスワードを入力する必要がありません。
企業・学校のWi-Fiで使われる主な認証方式を比較すると、EAP-TLSは最高レベルのセキュリティを持つ一方で、証明書の管理が必要というトレードオフがあります。
主なEAP認証方式の比較
| 認証方式 | 使う認証情報 | セキュリティ | 管理の手間 |
|---|---|---|---|
| EAP-TLS | クライアント証明書 | 最高 | 高い(証明書管理が必要) |
| PEAP-MSCHAPv2 | ユーザー名・パスワード | 高い | 低い(パスワード管理のみ) |
| EAP-TTLS | パスワード(トンネル内) | 高い | 中程度 |
| WPA2-PSK | 共有パスワード | 中程度 | 低い |
EAP-TLS証明書期限切れで接続できなくなる原因
証明書の役割と期限の仕組み
EAP-TLS認証には3種類の証明書が関与しています。
- クライアント証明書:各端末・ユーザーに発行される「本人証明書」。有効期限は通常1〜3年。
- サーバー証明書:RADIUSサーバー(認証サーバー)が持つ証明書。有効期限は通常1〜2年。
- CA証明書(ルート証明書):上記2つを発行した認証局の証明書。有効期限は通常5〜10年。
これらのうち1つでも期限が切れると、認証が失敗して接続できなくなります。特にサーバー証明書が期限切れの場合は、そのWi-Fiに接続しようとするすべての端末が一斉に接続不能になります。
証明書期限切れが引き起こす具体的な接続エラー
| 端末 | 表示されるエラーメッセージ | 原因の証明書 |
|---|---|---|
| Windows 11 | 「この証明書のサーバーIDを確認できません」 | サーバー証明書またはCA証明書 |
| macOS | 「このサーバーの証明書を確認できませんでした」 | サーバー証明書またはCA証明書 |
| Android | 「証明書エラーのため接続できません」 | いずれかの証明書 |
| iOS | 「このネットワークに接続できません」 | クライアント証明書(端末側) |
期限切れが気づきにくい理由
証明書の有効期限は、Wi-Fi接続が正常に動作している間はほとんど意識されません。期限切れは「昨日まで使えていたのに今日突然つながらない」という形で現れるため、インフラ担当者でさえ見落としやすい問題です。特に組織改編・担当者交代後に管理されないまま期限を迎えるケースが多くあります。
対処法:証明書を更新して接続を復旧する
ステップ1:どの証明書が期限切れかを特定する
まず、期限切れになっている証明書の種類を特定します。
サーバー証明書の確認(Windows 11の場合):
- 対象のWi-Fiネットワークに接続を試みる
- 接続エラーの詳細を確認する(「詳細を表示」または「証明書を表示」)
- 証明書の「有効期限」欄を確認する
- 現在の日付より前の日付であれば期限切れが確定
クライアント証明書の確認(Windows 11の場合):
- 「Windowsキー+R」→「certmgr.msc」と入力してEnterを押す
- 「個人」→「証明書」を展開する
- ユーザー名に対応する証明書を見つけて右クリック→「開く」
- 「全般」タブの「有効期間」を確認する
ステップ2:サーバー証明書の更新(管理者作業)
サーバー証明書の更新はRADIUSサーバー管理者が行う作業です。以下の手順で実施します。
- 証明書発行機関(社内CAまたは外部CA)に新しいサーバー証明書を申請する
- RADIUSサーバー(FreeRADIUS・Windows NPS・Cisco ISEなど)に新しい証明書をインポートする
- RADIUSサービスを再起動する
- 接続テスト用の端末で動作確認を行う
- 問題なければ全端末への通知と案内を行う
ステップ3:クライアント証明書の更新と各端末への配布
クライアント証明書が期限切れの場合、各ユーザーの端末に新しい証明書を配布する必要があります。
自動配布(推奨):
- Active Directory環境:グループポリシー(GPO)でクライアント証明書を自動配布する
- Intune/MDM環境:デバイス構成プロファイルで証明書を自動展開する
手動配布(個別対応の場合):
- PFXファイル(証明書+秘密鍵のセット)を安全な方法でユーザーに配布する
- 各端末でPFXファイルをインポートする(次のステップを参照)
ステップ4:各OS別の証明書インポート手順
Windows 11での証明書インポート:
- PFXファイルをダブルクリックする
- 「証明書のインポートウィザード」が起動する
- 保存場所は「現在のユーザー」を選択する
- PFXファイルのパスフレーズを入力する
- 「証明書ストアを自動的に選択する」を選択してインポートを完了する
- 「certmgr.msc」で「個人」→「証明書」に新しい証明書が追加されたか確認する
macOSでの証明書インポート:
- PFXファイルをダブルクリックして「キーチェーンアクセス」を開く
- パスフレーズを入力してインポートを完了する
- インポートした証明書を右クリック→「情報を見る」で有効期限を確認する
iOSでの証明書インポート:
- PFXファイルをメール添付またはAirDropで端末に送る
- ファイルをタップして「設定」にプロファイルが追加される
- 「設定」→「一般」→「VPNとデバイス管理」→「プロファイル」からインストールする
- Wi-Fiの接続設定に戻り、証明書を選択して接続する
Androidでの証明書インポート:
- PFXファイルをダウンロードする
- 「設定」→「セキュリティ」→「詳細設定」→「証明書のインストール」を開く
- 「VPN またはアプリ証明書」または「Wi-Fi証明書」を選択してPFXをインポートする
- Wi-Fi設定の「クライアント証明書」欄で新しい証明書を選択する
ステップ5:CA証明書(ルート証明書)の更新
CA証明書が期限切れの場合は、すべての端末のトラストストアに新しいCA証明書を追加する必要があります。
- Windows:グループポリシーで「信頼されたルート証明機関」に配布する
- Intune:デバイス構成プロファイルの「信頼された証明書」で配布する
- 個別端末:certmgr.msc の「信頼されたルート証明機関」にインポートする
証明書更新後の接続設定の見直し
| 設定項目 | 推奨設定 | 理由 |
|---|---|---|
| サーバー証明書の検証 | 有効(必須) | なりすましアクセスポイントへの接続を防ぐ |
| 信頼するCAの指定 | 組織のCA証明書のみ指定 | 不正な証明書発行機関を排除する |
| 証明書自動更新(Windows) | 有効 | 期限切れを自動で防ぐ |
| 自動接続 | 有効 | 証明書更新後に手動接続の手間を省く |
再発防止:証明書管理のベストプラクティス
| 管理項目 | 推奨対応 | タイミング |
|---|---|---|
| 証明書の有効期限を台帳管理する | スプレッドシートまたは証明書管理ツールで一元管理 | 即時 |
| 期限90日前にアラートを設定する | 監視ツール(Nagios・Zabbixなど)でメール通知 | 即時 |
| 証明書の有効期限を長くする | クライアント証明書を3年以上で発行(セキュリティポリシーに応じて) | 次回更新時 |
| MDMでの自動配布を導入する | IntuneまたはJamfで証明書の自動更新・配布を設定 | 計画的に |
| 年1回の証明書棚卸しを実施する | 全証明書の有効期限・配布状況を確認 | 定期 |
この記事に関連するおすすめ商品
法人向けWi-Fiルーター(WPA3-Enterprise対応)
約30,000円〜
EAP-TLS対応・RADIUSサーバー連携・企業向けセキュリティWi-Fi
Cat6 LANケーブル(高速・長尺)
約1,500円〜
Wi-Fi不安定時の有線バックアップ・ギガビット対応・フラット型で取り回しやすい
※ 価格は変動します。最新価格はリンク先でご確認ください
よくある質問(FAQ)
Q1. 証明書が期限切れかどうかを素早く確認する方法はありますか?
Windows 11の場合、「certmgr.msc」を開いて「個人」→「証明書」の一覧を確認します。「有効期限」列に過去の日付が表示されていれば期限切れです。サーバー証明書はブラウザでWi-Fiの認証ページにアクセスして証明書の詳細を確認することでも分かります。
Q2. 証明書期限切れなのに接続できている端末があります。なぜですか?
接続できている端末はクライアント証明書がまだ有効期限内の可能性があります。また、一部の端末はサーバー証明書の検証を無効にしている設定のため、期限切れのサーバー証明書でも接続できてしまうことがあります。後者はセキュリティ上の問題があるため、検証を有効にすることを推奨します。
Q3. 証明書を更新したのに接続できません。
以下の点を確認してください。端末の証明書ストアに古い証明書が残っていないか(残っている場合は削除する)、Wi-Fiプロファイルの「クライアント証明書」に新しい証明書が選択されているか、CA証明書も同時に更新された場合は端末のトラストストアも更新されているか、の3点が主なチェックポイントです。
Q4. 自分でできることはありますか?それともIT管理者に任せるべきですか?
サーバー証明書の更新・CA証明書の配布はIT管理者(またはネットワーク管理者)の作業です。エンドユーザーができることは、配布されたクライアント証明書(PFXファイル)を自分の端末にインポートすることです。会社から証明書更新の案内がない場合はIT部門に連絡することをおすすめします。
Q5. EAP-TLSをやめてPEAP(パスワード認証)に切り替えることはできますか?
技術的には可能ですが、セキュリティレベルが下がります。PEAPはパスワード漏洩のリスクがあり、証明書を使ったEAP-TLSのほうが企業セキュリティ基準として推奨されます。管理の手間を減らしたい場合はMDMによる証明書の自動管理を導入することをおすすめします。
Q6. スマートフォン(iPhone・Android)にクライアント証明書を配布する方法は?
iOSはMDM(Intune・Jamf)のデバイス構成プロファイルで自動配布するか、メール添付・SafariのURLでPFXファイルをインストールする方法があります。AndroidはIntuneのデバイス構成プロファイルが最も確実です。個別配布の場合はPFXファイルを端末に送り、設定から証明書をインポートします。
Q7. 証明書管理に使える無料ツールはありますか?
オープンソースの「XCA」はグラフィカルインターフェースで証明書の発行・管理・有効期限の一覧表示ができるツールです。Windows・macOS・Linuxに対応しており、小規模組織の証明書管理に適しています。大規模組織はMicrosoftの証明書サービス(AD CS)やHashiCorp Vaultの利用を検討してください。
Q8. 自動更新を設定すれば今後は期限切れにならないですか?
Active Directory環境でグループポリシーによる自動登録を設定すれば、クライアント証明書は有効期限の数週間前に自動更新されます。ただしサーバー証明書(RADIUSサーバー)は別途管理が必要です。MDM管理下の端末はIntuneのSCEP・PFXプロファイルで自動更新の仕組みを構築できます。
まとめ
Wi-FiエンタープライズのEAP-TLS証明書期限切れによる接続不能は、事前の期限管理で100%防げる問題です。しかし実際には担当者交代・管理台帳の不備・監視設定の欠如などが重なって突然発生するケースが後を絶ちません。
緊急対応としては「どの証明書が期限切れかを特定→サーバー証明書の更新(管理者)→クライアント証明書の再配布」の順で進めます。復旧後は必ず証明書台帳の整備とアラート設定を行い、再発を防止してください。
緊急復旧の手順まとめ
- 期限切れ証明書の種類を特定する(クライアント・サーバー・CA)
- サーバー証明書が期限切れ→RADIUSサーバー管理者が更新する(最優先)
- クライアント証明書が期限切れ→PFXファイルを各端末にインポートする
- CA証明書が期限切れ→全端末のトラストストアを更新する
- 接続テストで動作確認を行う
- 証明書台帳を作成して有効期限を記録する
- 90日前アラートを監視ツールに設定して再発を防ぐ
