EAP - Windows 11 中的更改
适用于:Windows 11、Windows 10
Windows 11 支持 WPA3-企业,这是一种 Wi-Fi 安全标准,它定义了一组有关 EAP 身份验证的服务器证书验证的要求。 默认情况下,Windows 11 还支持 TLS 1.3。 本文详细介绍了由于这些功能而导致的 Windows 11 中 EAP 行为的变化。
更新了 Windows 11 中的服务器证书验证行为
在以前的 Windows 版本中(包括 Windows 10),服务器证书验证逻辑因 EAP 方法而异。 在 Windows 11 中,我们已将所有 EAP 方法调整为以一致且可预测的方式运行,这也与 WPA3-企业规范一致。 此新行为适用于使用 Windows 附带的第一方 EAP 方法的任何 EAP 身份验证,包括 Wi-Fi、以太网和 VPN 方案。
如果满足以下条件之一,Windows 将信任服务器证书:
- 服务器证书指纹已添加到配置文件。
注意
如果用户在没有预配置的配置文件的情况下进行连接,或者在配置文件中启用了服务器验证的用户提示,那么当用户通过 UI 提示接受服务器时,指纹将自动添加到配置文件中。
- 满足以下所有条件:
从 Windows 10 升级到 Windows 11 的潜在问题
在 Windows 10 中,在某些情况下,PEAP 和 EAP-TLS 身份验证可以仅基于 Windows 受信任的根存储中是否存在受信任的根证书来成功验证服务器。 如果观察到 EAP 身份验证在升级到 Windows 11 后一直失败,请检查连接配置文件,以确保它们符合上述行为的新要求。
在大多数情况下,在配置文件中指定受信任的根证书指纹足以解决问题,前提是受信任的根证书已存在于受信任的根存储中。
另一个需要注意的是,Windows 11 版本 21H2(内部版本号 22000)中,服务器名称匹配区分大小写。 在 Windows 11版本 22H2(内部版本号 22621)中,服务器名称匹配已调整回不区分大小写。 如果使用服务器名称验证,请确保配置文件中指定的名称与服务器名称完全匹配,或者升级到 Windows 11 版本 22H2 或更高版本。
WPA3-Enterprise 信任替代禁用 (TOD) 策略
WPA3-Enterprise 要求设备信任服务器证书 - 如果服务器验证失败,Windows 将不会进入 EAP 交换的第 2 阶段。 如果服务器证书不受信任,系统会提示用户接受服务器证书。 此行为称为服务器证书的用户替代 (UOSC)。 若要为没有预配置的配置文件的计算机禁用 UOSC,可以在服务器证书上设置信任替代禁用 (TOD) 策略。
通过包含特定 OID,在服务器证书的证书策略扩展中指示 TOD 策略。 支持以下策略:
- TOD-STRICT:如果服务器证书不受信任,系统会提示用户接受服务器证书。 身份验证将失败。 此策略具有 OID
1.3.6.1.4.1.40808.1.3.1。 - TOD-TOFU(首次使用时信任):如果服务器证书不受信任,系统将提示用户仅在第一次连接时接受服务器证书。 如果用户接受服务器证书,服务器证书将添加到配置文件中,身份验证将继续。 但是,后续连接将要求服务器证书受信任,并且不会再次提示。 此策略具有 OID
1.3.6.1.4.1.40808.1.3.2。
TLS 1.3
Windows 11 在系统范围内默认启用 TLS 1.3,虽然 EAP-TLS 使用 TLS 1.3,但 PEAP 和 EAP-TTLS 继续使用 TLS 1.2。 Windows 11 版本 22H2(内部版本号 22621)更新了这些方法,以默认使用 TLS 1.3。
TLS 1.3 和 Windows 11 的已知问题
- NPS 目前不支持 TLS 1.3。
- 某些较旧版本的第三方 RADIUS 服务器可能会错误地播发 TLS 1.3 支持。 如果在 Windows 11 22H2 中使用 TLS 1.3 对 EAP-TLS 进行身份验证时遇到问题,请确保 RADIUS 服务器已修补并保持最新状态或禁用 TLS 1.3。
- 当前不支持会话恢复。 Windows 客户端将始终执行完整身份验证。