問2 IEEE802.1Xで使われるEAP-TLSによって実現される認証はどれか。(H23SC春午前2)
ア あらかじめ登録した共通鍵によるサーバ認証と、時刻同期のワンタイムパスワードによる利用者認証
イ チャレンジレスポンスによる利用者認証
ウ ディジタル証明書による認証サーバとクライアントの相互認証
エ 利用者IDとパスワードによる利用者認証
選択肢すべてに関して、何を意味しているのかを理解しながら考えるとよいだろう。正解は、ウである。
情報セキュリティスペシャリスト試験を目指す女性SE 

EAP-TLSは、
相互認証なんですね
そうです。そこがポイントです。認証サーバがクライアントPCを認証するだけではなく、クライアントPCが不正な認証サーバではないかを確認します。
以下の過去問にも記載があります。(参考にしてください)
http://sc.seeeko.com/archives/4554171.html

では、以下の過去問(H29秋NW午後Ⅱ問2)を見ましょう。
設問4 〔ディジタル証明書の配布方法の検討〕について, (1)~(3)に答えよ。
(1)本文中の下線⑥について,  NPCで必要になる情報を二つ挙げ,それぞれ15字以内で答えよ。

※EAP-TLSを実現する前提です。また、問題文には「ダウンロードサーバは,  RADIUSサーバで生成されたクライアント証明書と⑥その他にNPCで必要となる情報をRADIUSサーバからコピーし」とあります。
問題文が無いので、分かりにくかったですね。
以下の質問で考えてください。

EAP-TLSを実現するために、PC側で必要なものは、「クライアント証明書」以外に何か。2つ答えよ。

正解は、以下です。
・クライアントの秘密鍵
・CAの自己証明書

前者は、暗号化する際に秘密鍵は必要です。また、後者は、相互認証として認証サーバが正規のものかを確認するために必要です。CAの自己証明書となっていますが、CAのルート証明書と考えてください。
※この問題では、独自に立てたCAなので、自己証明書という表現をしています。
tls