Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Windows 11 поддерживает WPA3-Enterprise, стандарт безопасности Wi-Fi, определяющий набор требований для проверки сертификата сервера для проверки подлинности EAP. Windows 11 также поддерживает TLS 1.3 по умолчанию. В этой статье описаны изменения поведения EAP в Windows 11 из-за этих функций.
Обновлено поведение проверки сертификата сервера в Windows 11
В предыдущих выпусках Windows, включая Windows 10, логика проверки сертификатов сервера отличается от методов EAP. В Windows 11 мы отрегулировали все методы EAP для согласованного и предсказуемого поведения, что также соответствует спецификации WPA3-Enterprise. Это новое поведение применяется к любой аутентификации EAP с использованием стандартных методов EAP, которые поставляются с Windows, включая Wi-Fi, Ethernet и сценарии VPN.
Windows будет доверять сертификату сервера, если выполняется одно из следующих условий:
- Отпечаток сертификата сервера добавлен в профиль.
Примечание.
Если пользователь подключается без предварительно настроенного профиля или если в профиле включены запросы пользователя на проверку сервера, отпечаток будет автоматически добавлен в профиль, если пользователь принимает сервер через запрос пользовательского интерфейса.
- Выполняются все следующие условия:
- Цепочка сертификатов сервера доверяется компьютеру или пользователю.
- Это доверие основано на корневом сертификате, который присутствует на компьютере или в доверенном корневом хранилище пользователя, в зависимости от oneX authMode.
- Отпечаток доверенного корневого сертификата добавлен в профиль.
- Если проверка имени сервера включена (рекомендуется), имя соответствует указанному в профиле.
- Дополнительные сведения см. в статье "Проверка сервера" для получения дополнительных сведений о настройке проверки имени сервера в профиле.
- Цепочка сертификатов сервера доверяется компьютеру или пользователю.
Потенциальные проблемы, связанные с обновлением с Windows 10 до Windows 11
В Windows 10 при определенных обстоятельствах проверка подлинности PEAP и EAP-TLS может успешно проверить сервер исключительно на наличие доверенного корневого сертификата в доверенном корневом хранилище Windows. Если вы заметили, что аутентификация EAP постоянно завершается неудачей после обновления до Windows 11, проверьте профиль подключения, чтобы убедиться, что он соответствует новым требованиям, связанным с вышеописанным поведением.
В большинстве случаев указание отпечатка доверенного корневого сертификата в профиле достаточно, чтобы устранить проблему, если корневой сертификат уже присутствует в доверенном корневом хранилище.
Кроме того, следует отметить, что сопоставление имен сервера учитывает регистр в Windows 11 версии 21H2 (номер сборки 22000). Сопоставление имен сервера было изменено обратно, чтобы регистр не учитывался в версии 22H2 Windows 11 (номер сборки 22621). Если вы используете проверку имени сервера, убедитесь, что имя, указанное в профиле, соответствует имени сервера точно или обновляется до Windows 11 версии 22H2 или более поздней.
Подстановочные сертификаты
В Windows 11 Windows больше не будет немедленно отклонять сертификаты сервера, содержащие подстановочный знак (*) в общем имени сертификата (CN). Однако рекомендуется использовать DNS-имя в поле расширения "Альтернативное имя субъекта" (SubjectAltName/SAN), так как Windows будет игнорировать компоненты CN при проверке соответствия DNS, если SAN содержит опцию DNS-имени. DNS-имя SubjectAltName поддерживает использование подстановочных знаков в Windows 11, как и в предыдущих версиях Windows.
Примечание.
Все описанные выше условия доверия сертификату сервера по-прежнему применяются к сертификатам с подстановочным знаком.
Политики отключения доверия WPA3-Enterprise (TOD)
WPA3-Enterprise требует, чтобы устройство доверяет сертификату сервера. Если проверка сервера завершается ошибкой, Windows не войдет в этап 2 обмена EAP. Если сертификат сервера не является доверенным, пользователю будет предложено принять сертификат сервера. Это поведение называется переопределением пользователем сертификата сервера (UOSC). Чтобы отключить UOSC для компьютеров без предварительно настроенного профиля, можно задать политику отключения переопределения доверия (TOD) на сертификате сервера.
Политики TOD указываются в расширении Certificate Policies сертификата сервера с использованием определенного OID. Поддерживаются следующие политики:
- TOD-STRICT: если сертификат сервера не является доверенным, пользователю не будет предложено принять сертификат сервера. Аутентификация провалится. Эта политика содержит идентификатор OID
1.3.6.1.4.1.40808.1.3.1. - TOD-TOFU (trust On First Use): Если сертификат сервера не является доверенным, пользователю будет предложено принять сертификат сервера только для первого подключения. Если пользователь принимает сертификат сервера, сертификат сервера будет добавлен в профиль, а проверка подлинности продолжается. Однако последующие подключения потребуют доверенного сертификата сервера и не будут запрашивать повторно. Эта политика содержит идентификатор OID
1.3.6.1.4.1.40808.1.3.2.
Протокол TLS 1.3
Windows 11 включил TLS 1.3 по умолчанию по всей системе, и в то время как EAP-TLS использовал TLS 1.3, PEAP и EAP-TTLS продолжали использовать TLS 1.2. Windows 11 версии 22H2 (номер сборки 22621) обновил эти методы, чтобы использовать TLS 1.3 по умолчанию.
Известные проблемы с TLS 1.3 и Windows 11
- В настоящее время NPS не поддерживает TLS 1.3.
- Некоторые старые версии сторонних серверов RADIUS могут неправильно объявлять поддержку TLS 1.3. Если у вас возникли проблемы с проверкой подлинности EAP-TLS с TLS 1.3 на Windows 11 22H2, убедитесь, что сервер RADIUS получил исправления и обновления или на нем отключён TLS 1.3.
- Возобновление сеанса в настоящее время не поддерживается. Клиенты Windows всегда будут выполнять полную проверку подлинности.