Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Windows 11 podporuje WPA3-Enterprise, Wi-Fi standard zabezpečení, který definuje sadu požadavků na ověření certifikátu serveru pro ověřování protokolu EAP. Windows 11 ve výchozím nastavení podporuje také protokol TLS 1.3. Tento článek podrobně popisuje změny chování protokolu EAP ve Windows 11 z důvodu těchto funkcí.
Aktualizované chování ověřování certifikátů serveru ve Windows 11
V předchozích verzích Windows, včetně Windows 10, se logika ověření certifikátu serveru mezi metodami protokolu EAP liší. Ve Windows 11 jsme upravili všechny metody protokolu EAP tak, aby se chovaly konzistentním a předvídatelným způsobem, což je také konzistentní se specifikací WPA3-Enterprise. Toto nové chování se vztahuje na jakékoli ověřování EAP pomocí metod protokolu EAP první strany, které se dodávají s Windows, včetně scénářů Wi-Fi, Ethernet a VPN.
Systém Windows bude důvěřovat certifikátu serveru, pokud je splněna jedna z následujících podmínek:
- Kryptografický otisk certifikátu serveru byl přidán do profilu.
Poznámka:
Pokud se uživatel připojuje bez předkonfigurovaného profilu nebo pokud jsou v profilu povoleny výzvy k ověření serveru, kryptografický otisk se automaticky přidá do profilu, pokud uživatel přijme server přes výzvu v uživatelském rozhraní.
- Jsou splněny všechny následující podmínky:
- Řetěz certifikátů serveru je důvěryhodný počítačem nebo uživatelem.
- Tento vztah důvěryhodnosti vychází z kořenového certifikátu, který se nachází v počítači nebo v důvěryhodném kořenovém úložišti uživatele v závislosti na ověřovacím režimu OneX.
- Do profilu byl přidán kryptografický otisk důvěryhodného kořenového certifikátu.
- Pokud je povolené ověření názvu serveru (doporučeno), název odpovídá zadanému v profilu.
- Další informace naleznete v tématu Ověření serveru další informace o konfiguraci ověření názvu serveru v profilu.
- Řetěz certifikátů serveru je důvěryhodný počítačem nebo uživatelem.
Potenciální problémy s upgradem z Windows 10 na Windows 11
V systému Windows 10 za určitých okolností může ověřování PEAP a EAP-TLS úspěšně ověřit server pouze na základě přítomnosti důvěryhodného kořenového certifikátu v důvěryhodném kořenovém úložišti Windows. Pokud zjistíte, že ověřování EAP po upgradu na Windows 11 konzistentně selhává, zkontrolujte profil připojení a ujistěte se, že splňují nové požadavky na chování, které jste popsali dříve.
Ve většině případů stačí zadat kryptografický otisk důvěryhodného kořenového certifikátu v profilu k vyřešení problému za předpokladu, že kořenový certifikát již existuje v důvěryhodném kořenovém úložišti.
Další věcí, kterou je třeba poznamenat, je, že porovnávání názvů serverů je v systému Windows 11 verze 21H2 (číslo buildu 22000) rozlišující velká a malá písmena. Porovnávání názvů serverů bylo upraveno tak, aby nerozlišovalo malá a velká písmena ve Windows 11 verze 22H2 (číslo buildu 22621). Pokud používáte ověření názvu serveru, ujistěte se, že název zadaný v profilu odpovídá názvu serveru přesně nebo upgradujte na Windows 11 verze 22H2 nebo novější.
Zástupné certifikáty
Windows 11 už nebude okamžitě odmítat certifikáty serveru, které obsahují zástupný znak (*) v běžném názvu certifikátu (CN). Doporučuje se ale použít název DNS v poli rozšíření Subject Alternate Name (SubjectAltName/SAN), protože Systém Windows při kontrole shody DNS ignoruje komponenty CN, pokud síť SAN obsahuje volbu názvu DNS. Název DNS SubjectAltName podporuje ve Windows 11 zástupné znaky stejně jako v předchozích verzích Windows.
Poznámka:
Všechny výše popsané podmínky pro důvěryhodnost serverového certifikátu stále platí pro certifikáty se zástupnými znaky.
WPA3-Enterprise zásady vypnutí přepsání důvěry (TOD)
WPA3-Enterprise vyžaduje, aby zařízení důvěřovalo certifikátu serveru – pokud selže ověření serveru, Windows nezadá do fáze 2 výměny protokolu EAP. Pokud certifikát serveru není důvěryhodný, zobrazí se uživateli výzva k přijetí certifikátu serveru. Toto chování se nazývá Přepsání certifikátu serveru uživatelem (UOSC). Pokud chcete u počítačů bez předkonfigurovaného profilu zakázat UOSC, je možné nastavit zásady zákazu přepsání důvěryhodnosti (TOD) na certifikátu serveru.
Zásady TOD jsou uvedené v rozšíření Zásady certifikátů certifikátu serveru zahrnutím konkrétního identifikátoru. Podporují se následující zásady:
- TOD-STRICT: Pokud certifikát serveru není důvěryhodný, nezobrazí se uživateli výzva k přijetí certifikátu serveru. Ověření se nezdaří. Tato zásada má identifikátor OID
1.3.6.1.4.1.40808.1.3.1. - TOD-TOFU (důvěřovat při prvním použití): Pokud certifikát serveru není důvěryhodný, zobrazí se uživateli výzva k přijetí certifikátu serveru pouze při prvním připojení. Pokud uživatel přijme certifikát serveru, certifikát serveru se přidá do profilu a ověřování bude pokračovat. Další připojení však budou vyžadovat, aby byl certifikát serveru důvěryhodný a nebude se znovu zobrazovat výzva. Tato zásada má identifikátor OID
1.3.6.1.4.1.40808.1.3.2.
TLS 1.3
Windows 11 povolil protokol TLS 1.3 ve výchozím nastavení pro celou organizaci a zatímco EAP-TLS používal protokol TLS 1.3, PEAP a EAP-TTLS nadále používal protokol TLS 1.2. Windows 11 verze 22H2 (číslo buildu 22621) tyto metody aktualizovaly tak, aby ve výchozím nastavení používaly protokol TLS 1.3.
Známé problémy s protokolem TLS 1.3 a Windows 11
- Server NPS v tuto chvíli nepodporuje protokol TLS 1.3.
- Některé starší verze serverů RADIUS třetích stran můžou nesprávně inzerovat podporu protokolu TLS 1.3. Pokud máte problémy s ověřováním EAP-TLS s protokolem TLS 1.3 ve Windows 11 22H2, ujistěte se, že je server RADIUS opravený a aktuální nebo má zakázaný protokol TLS 1.3.
- Obnovení relace není v současné době podporováno. Klienti Windows budou vždy provádět úplné ověřování.