Mist Access Assurance PKI

Cloud PKI と Mist による無線証明書接続の記事を書いてから早くも1年が経過しました。そんな中で Mist の Access Assurance に PKI と証明書発行機能が追加されたとの知らせを受け、我々調査隊はアマゾンの奥地へと向かった。。。

August 6th 2025 Updates | Mist | Documentation | Juniper Networks

設定方法のドキュメントはこの記事を深夜のノリで書いている2025年9月15日0時(JST)時点では見つからず。ドキュメントの最終アップデートも 9/2 だが、まだ変わっておらず。

しょうがないので手探りで頑張ります。

設定方法

Mist に追加された CA を有効化するには Certificates から Onboard CA Configuration を選択し、Active にします。

Disable になっているので Active を選択。選択すると上画像のように External と Internal のタブが追加されます。（External がインポートした CA、Internal には後述のオンボーディングで発行した証明書が表示されました。）

さて、CA ができたはいいものの、どうやって端末に配布するかが問題となります。古くは Active Directory のグループポリシー、最近だと Intune や Jamf などで配布するかと思いますが、Mist は MDM 連携による配布と、Marvis Client による配布ができるようです。

MDM はまだ試してないので後日気が向いたらやってみるとして、Marvis Client による配布ですが、イメージは以下の流れだと思います。（ドキュメントが出てきてないので触った感触で書いてます）

今回は CA で証明書発行するのも証明書の認証をするのも Access Assurance なので、前回のような複雑なフローにはなってません。また、Marvis Client が証明書の配布を行うアプリとなっているため、今回のアップデートで NAC ポータルと各 OS (Linux は除く) に対応する Marvis Client アプリがリリースされています。

SSOの設定は若干ややこしいですが、他でも似たような設定があるので割愛します。1-08_Organizationの設定　シングルサインオンの設定　管理者アカウントの設定と同じように SAML の認証連携を行い、ユーザーの割り当てなどを行います。ゲストポータルの SSO と似てるかな。。。

気が向いたら細かく書きますが、きっとそのころには公式のドキュメントが整っているでしょう。

証明書を使って接続する SSID や証明書の有効期限もここで設定できます。

利用方法

設定が完了すると Client Onboarding ページに NAC タブが表示されます。この nacportal.mist.com (URL は Org のクラウド環境により異なります) がクライアントからアクセスするオンボーディング用のページになっています。

端末でアクセスすると、SSO (ここでは Entra ID)による認証が行われ、認証が成功すると次のようなページが表示されます。（Anrodid を例にします）

OS は自動的に推測されるようです。Download and Install the App を押すと、Marvis Client のインストールページへ移動します。（Android の場合は Google App Store, Windows は .msi の zip, mac OS は .dmg など）

アプリインストール後にもう一度この画面に戻り、Already have the app? をクリックすると、アプリに遷移します。Install を押すと、Onboarding 設定で指定した SSID が表示され、保存を押すと証明書を含むプロファイルのインストールが自動で実行され、無線への接続が完了します。

証明書は SSO のユーザーで自動で発行されるので、あまりユーザーとしては意識しないつくりになっています。発行された証明書は Certificate Authorities の Internal タブで確認可能です。

証明書の失効もこの画面から選択してクリックするだけで行えます。

正直 Marvis Client 入れるのちょっと面倒だなと思わなくもないですが、CA 証明書とユーザー証明書をMDM を使わずに簡単に配布するにはしょうがないのかもしれませんね。

EAP-TLS の接続設定も一般ユーザーが使うとなるとハードル高いので、どの OS でも共通で認証して Marvis Client 入れるだけというのであれば手順的には簡単だと思います。

それでは皆様ごきげんよう(^^)/

Cookie	期間	説明
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.