Windows Server 2022の802.1X RADIUSサーバで、TLS1.3が使えない

Question

Windows Server 2022はTLS1.3をサポートしているとの情報から、無線LANのEnterprise認証に用いるRADIUSサーバを構築しました。

TLS1.2をサポートする無線子機で、このRADIUSサーバで認証が成功することは確認しました。

TLS1.3の認証を行うために、Android14のスマートフォンを無線子機として接続したところ、認証サーバからRejectされました。

Android14では、無線のプロファイル作成時に、「TLSの最小バージョン」をTLS1.3に指定しています。

無線親機(AP)とRADIUS間の有線パケットを確認したところ、無線子機はClient HelloにてTLS1.3までサポートしていると通知しています。

RADIUSサーバは、Server Hello応答することなくRejectを送信するため、認証失敗しています。

Windows ServerのRegistry Editorを使って、TLS1.3を有効化するTipsを見つけ、試しましたが効果はありませんでした。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3

Windows Server 2022でTLS1.3が使えるというのは、一部のサービスのみなのでしょうか？

802.1X RADIUSサーバとして、TLS1.3動作させている方がおられましたら、手順をご教授頂きたいです。

なお、投稿する場所が適切でない場合は、アドバイスをお願いします。

バージョン情報：Windows Server 2022 バージョン 21H2

Answer 1

チャブーンです。

この件ですが、結論として今日時点ではNPSはTLS1.3には対応していません。将来的には対応すると思うのですが、その情報は分からないですね。以下の資料に明記してありました。(NPSが対応していないので)最初はWindow 11のサプリカントがPEAP等MSソリューションのプロトコルだけTLS1.2をデフォルトにしていたくらいです。

EAP - What's changed in Windows 11 | Microsoft Learn

---

Known issues with TLS 1.3 and Windows 11

• NPS doesn't support TLS 1.3 at this time.
• Some older versions of third-party RADIUS servers may incorrectly advertise TLS 1.3 support. If you're experiencing issues with authenticating EAP-TLS with TLS 1.3 with Windows 11 22H2, ensure the RADIUS server is patched and up to date or has TLS 1.3 disabled.
• Session resumption is not currently supported. Windows clients will always do a full authentication.

Answer 2

チャブーンさん

お返事ありがとうございます。

ご案内いただいたMicrosoftの資料、確認しました。

ご丁寧な解説、とても助かりました。

正式対応を待ちたいと思います。