Not
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Windows 11 stöder WPA3-Enterprise, en Wi-Fi säkerhetsstandard som definierar en uppsättning krav kring verifiering av servercertifikat för EAP-autentisering. Windows 11 stöder även TLS 1.3 som standard. Den här artikeln beskriver ändringarna i EAP-beteendet i Windows 11 på grund av dessa funktioner.
Uppdaterat verifieringsbeteende för servercertifikat i Windows 11
I tidigare Windows-versioner, inklusive Windows 10, varierade logiken för verifiering av servercertifikat mellan EAP-metoder. I Windows 11 har vi justerat alla EAP-metoder så att de fungerar på ett konsekvent och förutsägbart sätt, vilket också överensstämmer med WPA3-Enterprise specifikationen. Det här nya beteendet gäller för alla EAP-autentiseringar med hjälp av de första EAP-metoderna som levereras med Windows, inklusive Wi-Fi, Ethernet och VPN-scenarier.
Windows litar på servercertifikatet om något av följande villkor uppfylls:
- Tumavtrycket för servercertifikatet har lagts till i profilen.
Note
Om användaren ansluter utan en förkonfigurerad profil eller om uppmaningar om servervalidering är aktiverade i profilen läggs tumavtrycket automatiskt till i profilen om användaren accepterar servern genom en prompt i användargränssnittet.
- Alla följande villkor är uppfyllda:
- Servercertifikatkedjan är betrodd av datorn eller användaren.
- Det här förtroendet baseras på rotcertifikatet som finns i datorn eller användarens betrodda rotarkiv, beroende på OneX-authMode.
- Det betrodda rotcertifikatets tumavtryck har lagts till i profilen.
- Om verifiering av servernamn är aktiverat (rekommenderas) matchar namnet det som anges i profilen.
- Mer information finns i Serververifiering för mer information om hur du konfigurerar verifiering av servernamn i profilen.
- Servercertifikatkedjan är betrodd av datorn eller användaren.
Potentiella problem med att uppgradera från Windows 10 till Windows 11
I Windows 10-miljön kan PEAP- och EAP-TLS-autentiseringar under vissa omständigheter framgångsrikt validera servern enbart baserat på förekomsten av det betrodda rotcertifikatet i den betrodda rotbutiken i Windows. Om du observerar att en EAP-autentisering konsekvent misslyckas efter uppgraderingen till Windows 11 kontrollerar du anslutningsprofilen för att se till att de följer de nya kraven för det beteende som beskrivits tidigare.
I de flesta fall räcker det att ange fingeravtrycket för det betrodda rotcertifikatet i profilen för att lösa problemet, förutsatt att rotcertifikatet redan finns i det betrodda rotarkivet.
En annan sak att notera är att matchning av servernamn är skiftlägeskänsligt i Windows 11 version 21H2 (versionsnummer 22000). Matchningen av servernamn justerades tillbaka för att vara skiftlägesokänslig i Windows 11 version 22H2 (versionsnummer 22621). Om du använder verifiering av servernamn kontrollerar du att namnet som anges i profilen matchar servernamnet exakt eller uppgraderar till Windows 11 version 22H2 eller senare.
Jokerteckencertifikat
I Windows 11 avvisar Windows inte längre omedelbart servercertifikat som innehåller ett jokertecken (*) i certifikatets gemensamma namn (CN). Vi rekommenderar dock att DNS-namnet i fältet Alternativt namn för ämne (SubjectAltName/SAN) används, eftersom Windows ignorerar CN-komponenterna när du söker efter en DNS-matchning om SAN innehåller ett DNS-namnval. Dns-namnet SubjectAltName stöder ett jokertecken i Windows 11, som det har på tidigare versioner av Windows.
Note
Alla villkor som beskrivs ovan för att lita på servercertifikatet gäller fortfarande för vildkortscertifikat.
WPA3-Enterprise Principer för åsidosättning av inaktiverat förtroende (TOD)
WPA3-Enterprise kräver att enheten litar på servercertifikatet – om serververifieringen misslyckas går Windows inte in i fas 2 av EAP-utbytet. Om servercertifikatet inte är tillförlitligt uppmanas användaren att godkänna servercertifikatet. Det här beteendet kallas användarens åsidosättning av servercertifikat (UOSC). Om du vill inaktivera UOSC för datorer utan en förkonfigurerad profil går det att ange Principer för åsidosättning av (TOD) på servercertifikatet.
TOD-principerna anges i tillägget Certifikatprinciper för servercertifikatet genom att inkludera en specifik OID. Följande principer stöds:
- TOD-STRICT: Om servercertifikatet inte är betrott, kommer användaren inte att uppmanas att acceptera servercertifikatet. Autentiseringen misslyckas. Den här policyn har OID
1.3.6.1.4.1.40808.1.3.1. - TOD-TOFU (Förtroende vid första användning): Om servercertifikatet inte är betrott uppmanas användaren att endast godkänna servercertifikatet vid den första anslutningen. Om användaren accepterar servercertifikatet läggs servercertifikatet till i profilen och autentiseringen fortsätter. Efterföljande anslutningar kräver dock att servercertifikatet är betrott och kommer inte att fråga om det igen. Den här policyn har OID
1.3.6.1.4.1.40808.1.3.2.
TLS 1.3
Windows 11 aktiverade TLS 1.3 som standard systemomfattande, och medan EAP-TLS använde TLS 1.3 fortsatte PEAP och EAP-TTLS att använda TLS 1.2. Windows 11 version 22H2 (versionsnummer 22621) uppdaterade dessa metoder för att använda TLS 1.3 som standard.
Kända problem med TLS 1.3 och Windows 11
- NPS stöder inte TLS 1.3 just nu.
- Vissa äldre versioner av RADIUS-servrar från tredje part kan felaktigt annonsera TLS 1.3-stöd. Om du har problem med att autentisera EAP-TLS med TLS 1.3 med Windows 11 22H2 kontrollerar du att RADIUS-servern är uppdaterad eller har TLS 1.3 inaktiverat.
- Sessionsåtertagande stöds inte för närvarande. Windows-klienter utför alltid en fullständig autentisering.