EAP: lo que ha cambiado en Windows 11
Se aplica a: Windows 11, Windows 10
Windows 11 admite WPA3-Enterprise, un estándar de seguridad Wi-Fi que define un conjunto de requisitos en torno a la validación de certificados de servidor para la autenticación EAP. Windows 11 también admite TLS 1.3 de forma predeterminada. En este artículo se detallan los cambios en el comportamiento de EAP en Windows 11 debido a estas características.
Se ha actualizado el comportamiento de validación de certificados de servidor en Windows 11
En versiones anteriores de Windows, incluida Windows 10, la lógica de validación de certificados de servidor varía entre los métodos del EAP. En Windows 11, hemos ajustado todos los métodos del EAP para que se comporten de forma coherente y predecible, que también es coherente con la especificación de WPA3-Enterprise. Este nuevo comportamiento se aplica a cualquier autenticación del EAP mediante los métodos de EAP propios que se incluyen con Windows, incluidos escenarios de Wi-Fi, Ethernet y VPN.
Windows confiará en el certificado de servidor si se cumple una de las condiciones siguientes:
- La huella digital del certificado de servidor se ha agregado al perfil.
Nota:
Si el usuario se conecta sin un perfil preconfigurado o si en el perfil están habilitadas las solicitudes de validación del servidor del usuario, la huella digital se agregará automáticamente al perfil si el usuario acepta el servidor a través de la solicitud de la interfaz de usuario.
- Se tienen que cumplir todas estas condiciones:
- La cadena de certificados de servidor es de confianza para el equipo o el usuario.
- Esta confianza se basa en el certificado raíz que está presente en la máquina o en el almacén raíz de confianza del usuario, según el authMode de OneX.
- La huella digital del certificado de raíz es de confianza y se ha agregado al perfil.
- Si la validación del nombre del servidor está habilitada (recomendada), el nombre coincide con lo que se especifica en el perfil.
- Consulte Validación del servidor para obtener más información sobre cómo configurar la validación de nombres de servidor en el perfil.
- La cadena de certificados de servidor es de confianza para el equipo o el usuario.
Posibles problemas al actualizar de Windows 10 a Windows 11
En Windows 10, en determinadas circunstancias, las autenticaciones PEAP y EAP-TLS podrían validar correctamente el servidor basándose únicamente en la presencia del certificado raíz de confianza en el almacén raíz de confianza de Windows. Si observa que se produce un error constante en una autenticación de EAP después de actualizar a Windows 11, compruebe el perfil de conexión para asegurarse de que cumple los nuevos requisitos para el comportamiento descrito anteriormente.
En la mayoría de los casos, especificar la huella digital del certificado raíz de confianza en el perfil es suficiente para solucionar el problema, suponiendo que el certificado raíz ya está presente en el almacén raíz de confianza.
Otra cosa que hay que tener en cuenta es que la coincidencia de nombres de servidor distingue mayúsculas de minúsculas en Windows 11 versión 21H2 (número de compilación 22000). La coincidencia de nombres del servidor se ajustó para que no distingue mayúsculas de minúsculas en Windows 11 versión 22H2 (número de compilación 22621). Si usa la validación del nombre del servidor, asegúrese de que el nombre especificado en el perfil coincide exactamente con el nombre del servidor o actualice a Windows 11 versión 22H2 o posterior.
Directivas de deshabilitación de invalidación de confianza (TOD) de WPA3-Enterprise
WPA3-Enterprise requiere que el dispositivo confíe en el certificado del servidor: si se produce un error en la validación del servidor, Windows no entrará en la fase 2 del intercambio de EAP. Si el certificado de servidor no es de confianza, se le pedirá al usuario que acepte el certificado de servidor. Este comportamiento se denomina Invalidación de usuario del certificado de servidor (UOSC). Para deshabilitar UOSC para máquinas sin un perfil preconfigurado, es posible establecer directivas de deshabilitación de invalidación de confianza (TOD) en el certificado de servidor.
Las directivas de TOD se indican en la extensión Directivas de certificado del certificado de servidor mediante la inclusión de un OID específico. Se admiten las siguientes directivas:
- TOD-STRICT: si el certificado de servidor no es de confianza, no se le pedirá al usuario que acepte el certificado de servidor. Se producirá un error en la autenticación. Esta directiva tiene el OID
1.3.6.1.4.1.40808.1.3.1. - TOD-TOFU (confiar en el primer uso): si el certificado de servidor no es de confianza, se le pedirá al usuario que acepte el certificado de servidor solo en la primera conexión. Si el usuario acepta el certificado de servidor, el certificado de servidor se agregará al perfil y la autenticación continuará. Sin embargo, las conexiones posteriores requerirán que el certificado de servidor sea de confianza y no se le preguntará de nuevo. Esta directiva tiene el OID
1.3.6.1.4.1.40808.1.3.2.
TLS 1.3
Windows 11 ha habilitado TLS 1.3 de forma predeterminada en todo el sistema y, mientras que EAP-TLS usa TLS 1.3, PEAP y EAP-TTLS siguen usando TLS 1.2. Windows 11 versión 22H2 (número de compilación 22621) actualizó estos métodos para usar TLS 1.3 de forma predeterminada.
Problemas conocidos con TLS 1.3 y Windows 11
- NPS no admite TLS 1.3 en este momento.
- Algunas versiones anteriores de servidores RADIUS de terceros pueden anunciar incorrectamente la compatibilidad con TLS 1.3. Si tiene problemas con la autenticación de EAP-TLS con TLS 1.3 con Windows 11 22H2, asegúrese de que el servidor RADIUS está revisado y actualizado o tiene TLS 1.3 deshabilitado.
- Actualmente no se admite la reanudación de la sesión. Los clientes de Windows siempre realizarán una autenticación completa.