■ 概要
Windows 11において、「設定」→「ネットワークとインターネット」→「Wi-Fi」→「既知のネットワークの管理」からWPA2-エンタープライズ方式のネットワークを追加する際、EAPメソッドに「スマートカードまたはその他の証明書(EAP-TLS)」を選択すると、「新しいネットワークを追加できませんでした」というエラーが表示され、ネットワーク追加に失敗する事象が確認されました。
この問題は接続処理の前段階、つまりGUI上の設定完了時点で発生しており、ログやイベントビューアに記録が残らない点も特徴です。
Windows11 [設定] [ネットワークとインターネット] [既知のネットワークの管理]からネットワーク追加できない – Microsoft Q&A
■ 検証環境
OS:Windows 11 23H2 / 24H2
セキュリティの種類:WPA2-エンタープライズ AES
EAPメソッド:スマートカードまたはその他の証明書(EAP-TLS)
証明書:
ユーザー証明書(.pfx)およびCA証明書(.cer)を事前に[コンピューター証明書の管理]にインポート済み
設定手順:
[設定] → [ネットワークとインターネット] → [Wi-Fi] → [既知のネットワークの管理] → [ネットワークの追加]
■ 問題の内容
以下の手順でエラーが再現されます:
セキュリティの種類に「WPA2-エンタープライズ AES」を選択
EAP方式に「スマートカードまたはその他の証明書(EAP-TLS)」を選択
必要項目を入力後、「保存」をクリック
「新しいネットワークを追加できませんでした」というメッセージが即座に表示される
接続プロファイルは作成されず、ログも残らない(netsh wlan show profilesにも表示されない)
■ 原因(推定)
Windows 11のネットワーク追加設定UIが、EAP-TLS構成時に必要な内部処理(証明書選択・構文生成など)に失敗していると推測されます。
実際には信頼されているサーバー、信頼されている証明書の拇印を入力およびクライアント証明書とCA証明書が正しくインポートされているにもかかわらず、GUI側のバリデーションで不正と判断され、追加処理が中断されている模様です。
作成段階であり接続の試行自体が行われないため、イベントログにも記録されません。
■ 回避策・代替手段
● 方法:netsh wlan add profile による XML プロファイルの手動インポート
<name>SSID名</name> ※SSIDです。
<ServerNames>RADIUSサーバのサーバ証明書のCN</ServerNames> ※正規表現ではありません。サーバ証明書のCNを見て正しく入力してください。
<TrustedRootCA>00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 14 </TrustedRootCA> ※CA証明書のSHA1拇印です。正しく入力してください
以下のような XML を profile.xml として保存します:
<?xml version="1.0"?>
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
<name>eaptls</name>
<SSIDConfig>
<SSID>
<name>eaptls</name>
</SSID>
<nonBroadcast>false</nonBroadcast>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<autoSwitch>true</autoSwitch>
<MSM>
<security>
<authEncryption>
<authentication>WPA2</authentication>
<encryption>AES</encryption>
<useOneX>true</useOneX>
</authEncryption>
<OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
<authMode>machine</authMode>
<EAPConfig><EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>radius.test.local</ServerNames><TrustedRootCA>00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 14 </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap></Config></EapHostConfig></EAPConfig>
</OneX>
</security>
</MSM>
</WLANProfile>
コマンドプロンプトで以下を実行:
netsh wlan add profile filename="profile.xml"
これにより、GUIを経由せず、直接EAP-TLS構成を追加できます。
■ 結論
Windows 11では、GUIから「スマートカードまたはその他の証明書(EAP-TLS)」を選択してネットワークを追加する操作に不具合があり、接続設定の登録自体が失敗します。また、「WPA3-エンタープライズ 192ビット モード」や「802.11x WEP」といったセキュリティの種類においても、同様にEAP方式として「スマートカードまたはその他の証明書(EAP-TLS)」を選択できるが、やはりネットワーク保存できずエラーとなる。
証明書や設定に問題がなくても、GUIの処理段階でエラーになるため、ログも取得されません。
現時点での有効な回避策は、XMLプロファイルを netsh 経由でインポートする方法です。
EAP-TLS構成は一見難しそうに感じられますが、ポイントを押さえていけば確実に前進できます。Windows 11の仕様変更に戸惑う場面もありますが、それらを一つずつ理解していくことが、より強固で安心できる無線LAN環境の実現につながります。この記事が少しでも参考になれば幸いです。
広告
広告
