Extensible Authentication Protocol (EAP) 是一種認證框架,允許使用不同的身份驗證方法來進行安全網路造訪技術。 這些技術的範例包括使用 IEEE 802.1X 的無線造訪、使用 IEEE 802.1X 的有線造訪以及點對點協議(PPP)連接,如虛擬私人網路(VPN)。 EAP 不是特定的驗證方法,例如 MS-CHAP v2,而是一種架構,可讓網路廠商在存取客戶端和驗證伺服器上開發及安裝新的驗證方法,稱為 EAP 方法。 EAP 架構最初由 RFC 3748 定義,並由各種其他 RFC 和標準進行擴充。
驗證方法
在通道 EAP 方法中使用的 EAP 驗證方法通常稱為 內部方法 或 EAP 型別。 設定為 內部方法 的方法具有與用作外部方法時相同的組態設定。 本文包含特定於以下 EAP 中身份驗證方法的設置資訊。
EAP-Transport Layer Security(EAP-TLS):使用 TLS 和證書進行相互身份驗證的基於標準的 EAP 方法。 在 Windows 中顯示為智慧卡或其他證書(EAP-TLS)。 EAP-TLS 可以部署為另一個EAP方法的 內部方法 ,也可以部署為獨立EAP方法。
Tip
使用 EAP-TLS 的 EAP 方法,作為基於證書的方法,通常提供最高級別的安全性。 例如,EAP-TLS 是 WPA3-Enterprise 192 位模式的唯一允許的 EAP 方法。
EAP-Microsoft Challenge Handshake Authentication Protocol version 2(EAP-MSCHAP v2): Microsoft 設置的 EAP 方法,封裝了 MSCHAP v2 身份驗證協議,該協議使用使用者名和密碼進行身份驗證。 在 Windows 中顯示為安全密碼(EAP-MSCHAP v2)。 EAP-MSCHAPv2 可以用作 VPN 的獨立方法,但只能用作有線/無線連接的 內部方法 。
Warning
基於 MSCHAPv2 的連接易受與 NTLMv1 相似的攻擊。 Windows 11 企業版 22H2 版(組建 22621) 會啟用 Windows Defender Credential Guard,這可能會造成 MSCHAPv2 型連線的問題。
受保護的 EAP (PEAP): Microsoft 設置的 EAP 方法,將 EAP 封裝在 TLS 通道內。 TLS 通道保護內部 EAP 方法,否則此方法可能會不受保護。 Windows 支援 EAP-TLS 和 EAP-MSCHAP v2 作為內部方法。
EAP-Tunneled 傳輸層安全性(EAP-TTLS):描述於RFC 5281,封裝一個 TLS 會話,並透過另一個內部驗證機制進行相互認證。 此內部方法可以是 EAP 協定(例如 EAP-MSCHAP v2),也可以是非 EAP 協定(例如 Password Authentication Protocol (PAP))。 在 Windows Server 2012 中,EAP-TTLS 的包含僅提供使用者端支援(在 Windows 8 中)。 NPS 目前不支援 EAP-TTLS。 客戶端支援可以與支援 EAP-TTLS 的常用部署的 RADIUS 伺服器進行互通。
EAP-Subscriber 身分識別模組(EAP-SIM)、EAP-Authentication 和密鑰協定(EAP-AKA),以及 EAP-AKA Prime(EAP-AKA』):這是由各種 RFC 描述,可使用 SIM 卡啟用驗證,並在客戶從行動網路運營商購買無線寬頻服務方案時實作。 作為該計劃的一部分,客戶通常會收到預先設置用於 SIM 身份驗證的無線設置檔。
通道 EAP (TEAP):這是 由 RFC 7170、通道式 EAP 方法所描述,該方法會建立安全的 TLS 通道,並在該通道內執行其他 EAP 方法。 支援 EAP 連結 - 在一個身份驗證會話中對電腦和使用者進行身份驗證。 在 Windows Server 2022 中,包含 TEAP 僅提供對使用者端 - Windows 10 版本 2004(內部版本 19041)的支援。 NPS 目前不支援 TEAP。 客戶端支援可以與支援 TEAP 的常用部署的 RADIUS 伺服器進行互通。 Windows 支援 EAP-TLS 和 EAP-MSCHAP v2 作為內部方法。
下表列出了一些常見的 EAP 方法及其 IANA 指派的方法類型號。
| EAP 方法 | IANA 指派 的類型 編號 | 本機 Windows 支援 |
|---|---|---|
| MD5-Challenge (EAP-MD5) | 4 | ❌ |
| 一次性密碼 (EAP-OTP) | 5 | ❌ |
| 通用通關卡 (EAP-GTC) | 6 | ❌ |
| EAP-TLS | 13 | ✅ |
| EAP-SIM | 18 | ✅ |
| EAP-TTLS | 21 | ✅ |
| EAP-AKA | 23 | ✅ |
| PEAP | 25 | ✅ |
| EAP-MSCHAP v2 | 26 | ✅ |
| 受保護的一次性密碼 (EAP-POTP) | 32 | ❌ |
| EAP-FAST | 43 | ❌ |
| 預共用金鑰 (EAP-PSK) | 47 | ❌ |
| EAP-IKEv2 | 49 | ❌ |
| EAP-AKA' | 50 | ✅ |
| EAP-EKE | 53 | ❌ |
| TEAP | 55 | ✅ |
| EAP-NOOB | 56 | ❌ |
設置 EAP 屬性
您可以透過以下方式存取 802.1X 驗證的有線和無線存取的 EAP 屬性:
- 在 Group Policy 中設置 Wired Network (IEEE 802.3) Policies 和 Wireless Network (IEEE 802.11) Policies 擴充。
- 電腦配置>預訂須知>Windows 設定>安全性設定
- 使用行動裝置管理 (MDM) 軟體,例如 Intune (Wi-Fi/有線)
- 在客戶端電腦上手動設置有線或無線連線。
您可以透過以下方式存取虛擬私人網路 (VPN) 連線的 EAP 屬性:
有關設置 EAP 屬性的詳細資訊,請參閱在 Windows 中設置 EAP 設置檔和設置。
EAP 的 XML 設置檔
用於不同連線類型的設置檔是包含該連線的設置選項的 XML 檔案。 每種不同的連接類型都遵循特定的架構:
不過,當設定為使用 EAP 時,每個設定檔架構都有子元素 EapHostConfig 元素。
- Wired/Wireless:
EapHostConfig是 EAPConfig 元素的子元素。 MSM > 安全性 (有線/無線) >OneX> EAPConfig - VPN:
EapHostConfig是 NativeProfile >驗證 >Eap >設置的子元素
此組態語法在 Group Policy:Wireless/Wired Protocol Extension 規格中設置。
Note
各種設置 GUI 並不總是顯示所有技術上可能的選項。 例如,Windows Server 2019 及更早版本無法在 UI 中設置 TEAP。 不過,通常可以匯入先前設定的現有 XML 設定檔。
本文的其餘部分旨在提供組策略/控制面板 UI 和 XML 組態選項之 EAP 特定部分之間的對應,並提供設定的描述。
如需有關設定 XML 設定檔的詳細資訊,請參閱 XML 設定檔。 透過網站設置 Wi-Fi 設置檔中可以找到使用包含 EAP 設置的 XML 設置檔的範例。
安全性設定
下表說明了使用 802.1X 的設置檔的可設置安全性設置。 這些設定對應至 OneX。
| Setting | XML 元素 | Description |
|---|---|---|
| 選擇網路身份驗證方法: | EAPConfig | 可以讓您選擇用於身份驗證的 EAP 方法。 請參閱身份驗證方法設置設置和蜂窩身份驗證設置設置 |
| 屬性 | 開啟所選 EAP 方法的屬性對話框。 | |
| 驗證模式 | authMode | 指定用於身份驗證的憑證類型。 支援以下值: 1. 使用者或電腦身份驗證 2. 電腦認證 3. 使用者認證 4. 訪客認證 在本文中,電腦在其他參考文獻中代表機器。 machineOrUser是 Windows 中的預設值。 |
| 驗證失敗的數目上限 | maxAuthFailures | 指定一組憑證允許的最大身份驗證失敗次數,預設為1 。 |
| 快取使用者資訊以供後續連接到該網路 | cacheUserData | 指定是否應快取使用者的憑證以供後續連接到同一網路,預設為true。 |
進階安全性設置 >IEEE 802.1X
如果已檢查 [強制執行進階 802.1X 設定 ],則會設定下列所有設定。 如果未選中,則套用預設設置。 在 XML 中,所有元素都是可選的,如果不存在則使用預設值。
| Setting | XML 元素 | Description |
|---|---|---|
| Max Eapol-啟動訊息 | maxStart | 指定在請求者(Windows 使用者端)假定不存在身份驗證器之前可以傳送到身份驗證器(RADIUS 伺服器)的 EAPOL-Start 訊息的最大數量,預設為3。 |
| 開始時間(秒) | startPeriod | 指定發送 EAPOL-Start 訊息以啟動 802.1X 驗證程序之前等待的時間(以秒為單位),預設為5。 |
| 保持時間(秒) | heldPeriod | 指定身份驗證嘗試失敗後重新嘗試身份驗證的等待時間(以秒為單位),預設為1。 |
| 驗證週期(秒) | authPeriod | 指定在假設不存在身份驗證器之前等待身份驗證器(RADIUS 伺服器)回應的時間段(以秒為單位),預設為18。 |
| Eapol-Start 訊息 | supplicantMode | 指定用於 EAPOL-Start 訊息的傳送方法。 支援以下值: 1. 不要傳輸 ( inhibitTransmission)2. 發送 ( includeLearning)3. 依照 IEEE 802.1X 傳送 ( compliant)在本文中,電腦在其他參考文獻中代表機器。 compliant是 Windows 中的預設設置,也是無線設置檔的唯一有效選項。 |
進階安全設置>單一登入
下表介紹了Single Sign On (SSO)(以前稱為預先登入存取提供者 (PLAP))的設置。
| Setting | XML 元素 | Description |
|---|---|---|
| 為此網路啟用單一登入 | singleSignOn | 指定是否為此網路啟用 SSO,預設為false。 如果網路不需要,請勿singleSignOn在設置檔中使用。 |
| 緊接在使用者之前執行 在使用者之後立即執行 |
type | 指定何時應執行 SSO - 在使用者登入之前或之後。 |
| 連線最大延遲(秒) | maxDelay | 指定 SSO 嘗試失敗之前的最大延遲(以秒為單位),預設為10。 |
| 允許在單一登入期間顯示其他對話框 | allowAdditionalDialogs | 指定是否允許在 SSO 過程中顯示 EAP 對話框,預設為false。 |
| 此網路使用不同的 VLAN 透過電腦和使用者憑證進行身份驗證 | userBasedVirtualLan | 指定設備使用的虛擬 LAN (VLAN) 是否依據使用者的憑證更改,預設為false。 |
身份驗證方法設置設置
Caution
如果網路存取伺服器設定為允許通道 EAP 方法的相同類型驗證方法(例如 PEAP)和非通道 EAP 方法(例如 EAP-MSCHAP v2),則有潛在的安全性弱點。 當您部署通道 EAP 方法和 EAP(不受保護)時,請勿使用相同的驗證類型。 例如,如果您部署PEAP-TLS,請勿同時部署 EAP-TLS,因為如果您需要通道的保護,那麼在通道外部執行該方法就沒有意義。
下表說明了每種身份驗證方法的可設置設置。
UI 中的 EAP-TLS 設定對應至 EapTlsConnectionPropertiesV1,其是由 EapTlsConnectionPropertiesV2 和 EapTlsConnectionPropertiesV3 擴充。
| Setting | XML 元素 | Description |
|---|---|---|
| 使用我的智慧卡 | 認證來源>智慧卡 | 指定發出身份驗證請求的使用者端必須提供智慧卡證書以進行網路身份驗證。 |
| 使用這台電腦上的憑證 | 認證來源>憑證存放區 | 指定對使用者端進行身份驗證必須使用位於目前使用者或本機電腦憑證儲存區中的憑證。 |
| 使用簡單憑證選取 (建議使用) | SimpleCertSelection | 指定 Windows 是否會自動選取憑證進行驗證,而不需使用者互動(可能的話),或 Windows 是否顯示下拉式清單,讓用戶選取憑證。 |
| Advanced | 開啟設置證書選擇對話框。 | |
| 伺服器驗證選項 | ||
| 針對連線使用不同的使用者名稱 | DifferentUsername | 指定是否使用與憑證中的使用者名稱不同的使用者名稱進行身份驗證。 |
下面列出了設置證書選擇的設置設置。 這些設置設置使用者端用於選擇適當的憑證進行身份驗證的標準。 此 UI 會對應至 TLSExtensions>FilteringInfo。
| Setting | XML 元素 | Description |
|---|---|---|
| 憑證簽發者 |
CAHash列表Enabled="true" |
指定是否啟用憑證授權單位篩選。 如果同時啟用 憑證簽發者 和 擴充金鑰使用方式 (EKU), 則只有滿足這兩個條件的憑證才會被視為有效,以驗證用戶端到伺服器。 |
| 根證書頒發機構 | IssuerHash | 列出本機電腦帳戶的Trusted Root Certification Authorities 或Intermediate Certification Authorities 儲存中存在對應憑證授權單位 (CA) 憑證的所有授權單位的名稱。 這包括: 在 XML 中,這是憑證的 SHA-1 指紋(雜湊)。 |
| 擴充金鑰使用方法 (EKU) | 允許您選擇 All Purpose、 Client Authentication、 AnyPurpose 或這些的任意組合。 指定選擇組合時,所有至少符合三個條件之一的憑證都被視為用於向伺服器驗證使用者端身分的有效憑證。 如果啟用 EKU 篩選,則必須選取其中一個選項,否則[ 擴充密鑰使用方式][EKU] 複選框會取消核取。 | |
| 多用途 | AllPurposeEnabled | 選取時,此專案會指定具有 多用途 EKU 的憑證會被視為有效憑證,用於向伺服器驗證用戶端。
所有用途的物件識別碼 (OID) 為0或為空。 |
| 用戶端驗證 |
ClientAuthEKUListEnabled="true" (> EKUMapInList > EKUName) |
指定具有 用戶端驗證 EKU 的憑證,以及指定的 EKU 清單,會被視為有效憑證,以向伺服器驗證用戶端。
用戶端驗證的物件識別碼 (OID) 是 1.3.6.1.5.5.7.3.2。 |
| AnyPurpose |
AnyPurposeEKUListEnabled="true" (> EKUMapInList > EKUName) |
指定所有具有 AnyPurpose EKU 和指定 EKU 清單的憑證都被視為有效憑證,用於向伺服器驗證用戶端。
AnyPurpose 的物件識別碼 (OID) 是 1.3.6.1.4.1.311.10.12.1。 |
| Add | EKUMapping > EKUMap > EKUName/EKUOID | 開啟 [ 選取 EKU] 對話方塊,可讓您將標準、自訂或廠商特定的 EKU 新增至 [用戶端驗證 ] 或 [AnyPurpose ] 清單。 在 [選取 EKU] 對話方塊中選取 [新增] 或 [編輯] 會開啟 [新增/編輯 EKU] 對話方塊,其中提供兩個選項: 1. 輸入 EKU 的名稱 - 提供輸入自訂 EKU 名稱的位置。 2. 輸入 EKU OID - 提供輸入 EKU OID 的位置。 只允許使用數字、分隔符號和 .。 允許使用通配符,在這種情況下,允許層次結構中的所有子 OID。 例如,輸入 1.3.6.1.4.1.311.*允許1.3.6.1.4.1.311.42和1.3.6.1.4.1.311.42.2.1。 |
| Edit | 可讓您編輯您所新增的自訂 EKU。 無法編輯預設的預設置 EKU。 | |
| Remove | 從 用戶端驗證 或 AnyPurpose 清單中移除選取的 EKU。 |
伺服器憑證驗證
許多 EAP 方法都包含一個供客戶端驗證伺服器憑證的選項。 如果伺服器憑證未經驗證,客戶端就無法確定它正在與正確的伺服器進行通訊。 這使客戶端面臨安全風險,包括客戶端可能在不知情的情況下連接到惡意網路的可能性。
Note
Windows 要求伺服器憑證具有 伺服器驗證 EKU。 此 EKU 的物件辨別碼 (OID) 是1.3.6.1.5.5.7.3.1。
下表列出了適用於每種 EAP 方法的伺服器驗證選項。 Windows 11 更新了伺服器驗證邏輯,以更一致。 若要深入瞭解,請參閱 Windows 11 中更新的伺服器證書驗證行為。 如果它們發生衝突,下表中的描述描述了 Windows 10 及更早版本的行為。
| Setting | XML 元素 | Description |
|---|---|---|
| 透過驗證憑證來驗證伺服器的身份 | EAP-TLS: PerformServerValidation PEAP: PerformServerValidation |
此專案會指定客戶端確認提供給用戶端電腦的伺服器憑證具有: 停用此勾選框會導致使用者端電腦在身份驗證過程中無法驗證伺服器的身份。 如果不進行伺服器驗證,使用者將面臨嚴重的安全風險,包括使用者可能在不知不覺中連接到惡意網路的可能性。 |
| 連接到這些伺服器 | EAP-TLS: 伺服器驗證>伺服器名稱 PEAP: 伺服器驗證>伺服器名稱 EAP-TTLS: 伺服器驗證> ServerNames TEAP: 伺服器驗證> ServerNames |
可以讓您指定提供網路驗證和授權的遠端身分驗證撥入使用者服務 (RADIUS) 伺服器的名稱。 您必須鍵入名稱,與每個RADIUS伺服器證書的主體欄位中顯示的名稱完全一致,或使用正則表達式(regex)指定伺服器名稱。 正規代表式的完整語法可用於指定伺服器名稱,但為了區分正規代表式和文字字串,必須在指定的字串中 *至少使用一個。 例如,您可以nps.*\.example\.com指定要指定 RADIUS 伺服器nps1.example.com或nps2.example.com。 您也可以包含一個;來分隔多個伺服器。如果未指定 RADIUS 伺服器,則使用者端僅驗證 RADIUS 伺服器憑證是否由受信任的根 CA 核發。 |
| 受信任的根憑證授權單位 | EAP-TLS: 伺服器驗證>可信任的根卡 PEAP: 伺服器驗證>可信任的根卡 EAP-TTLS: 伺服器驗證> TrustedRootCAHashes TEAP: 伺服器驗證> TrustedRootCAHashes |
列出受信任的根憑證授權單位。 此清單是依據電腦和使用者憑證儲存中安裝的受信任根 CA 建構的。 您可以指定請求者使用哪些受信任的根 CA 憑證來決定他們是否信任您的伺服器,例如執行網路原則伺服器 (NPS) 的伺服器或設置伺服器。 如果未選取受信任的根 CA,802.1X 用戶端會驗證 RADIUS 伺服器的電腦憑證是由已安裝的受信任根 CA 所簽發。 如果選取一或多個受信任的根 CA,802.1X 用戶端會確認 RADIUS 伺服器的電腦憑證是由選取的受信任根 CA 所簽發。 如果未選擇受信任的根 CA,使用者端將驗證 RADIUS 伺服器憑證是否由任何受信任的根 CA 頒發。 如果您的網路上有公鑰基礎架構 (PKI),並且使用 CA 向 RADIUS 伺服器頒發證書,則您的 CA 證書會自動新增至受信任的根 CA 清單。 您也可以從非 Microsoft 供應商購買 CA 憑證。 某些非 Microsoft 受信任的根 CA 會向軟體提供您購買的證書,該軟體會自動將購買的憑證安裝到 Trusted Root Certification Authorities 憑證儲存中。 在這種情況下,受信任的根 CA 會自動出現在受信任的根 CA 清單中。 不要指定目前使用者和本機的使用者端電腦的 Trusted Root Certification Authorities 憑證儲存中尚未列出的受信任根 CA 憑證。 如果您指定未安裝在用戶端電腦上的憑證,驗證會失敗。 在 XML 中,這是憑證的 SHA-1 指紋(雜湊)(或 TEAP 的 SHA-256)。 |
伺服器驗證使用者提示
下表描述每個 EAP 方法可用的伺服器驗證使用者提示選項。 當伺服器證書不受信任時,這些選項會判斷是否:
- 聯機會立即失敗。
- 系統會提示使用者手動接受或拒絕連線。
| Setting | XML 元素 |
|---|---|
| 不要暗示使用者授權新伺服器或受信任的證書機構 | 伺服器驗證>DisableUserPromptForServerValidation |
如果伺服器證書設置錯誤、尚未受信任或二者都是(如果已啟用),則防止使用者提示信任伺服器證書。 為了簡化使用者體驗並防止使用者誤信攻擊者部署的伺服器,建議您選擇此選項。
蜂窩身份驗證設置設置
以下分別列出了 EAP-SIM、EPA-AKA 和 EPA-AKA' 的設置設置。
EAP-SIM 定義在 RFC 4186 中。 EAP Subscriber Identity Module (SIM) 用於使用第二代行動網路 Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM) 進行驗證和會話金鑰分發。
UI 中的 EAP-SIM 設定會對應至 EapSimConnectionPropertiesV1。
| Item | XML 元素 | Description |
|---|---|---|
| 使用強密鑰 | UseStrongCipherKeys | 指定如果選擇,設置檔將使用強加密。 |
| 當假名身份可用時,不要向伺服器透露真實身份 | DontRevealPermanentID | 啟用後,如果伺服器請求永久身份(儘管客戶端具有假名身份),則強制客戶端身份驗證失敗。 假名身分用於身分隱私,以便在身分驗證過程中不會洩漏使用者的實際或永久身分。 |
| ProviderName | 僅在 XML 中可用,該字串指示允許進行身份驗證的提供者名稱。 | |
| 啟用領網域的使用 |
王國=true |
提供輸入領網域名稱的位置。 如果此欄位留空並選擇啟用領網域的使用,則領網域將使用領網域3gpp.org 從國際行動使用者身分(IMSI) 派生,如第三代合作夥伴專案(3GPP) 標準23.003 V6.8.0 中所述。 |
| 指定一個領網域 | Realm | 提供輸入領網域名稱的位置。 如果啟用了啟用領網域的使用,則使用此字串。 如果此欄位為空,則使用衍生領網域。 |
WPA3-企業 192 位元模式
WPA3-Enterprise 192 位元模式是 WPA3-Enterprise 的一種特殊模式,它對無線連線強制執行某些高安全性要求,以提供至少 192 位元的安全性。 這些要求與 Commercial National Security Algorithm (CNSA) 套件 CNSSP 15 一致,該套件是一組經 United States National Security Agency (NSA) 批准用於保護機密和絕密資訊的加密演算法。 192 位元模式有時可稱為 Suite B 模式,這是對 NSA Suite B Cryptography 規範的引用,該規範於 2016 年被 CNSA 取代。
從 Windows 10 版本 2004(內部版本 19041)和 Windows Server 2022 開始,WPA3-Enterprise 和 WPA3-Enterprise 192 位元模式皆可使用。 然而,WPA3-Enterprise 在 Windows 11 中被選為獨立的驗證演算法。 在 XML 中,這是在 authEncryption 元素中指定的。
下表列出了 CNSA Suite 所需的演算法。
| Algorithm | Description | Parameters |
|---|---|---|
| 進階加密標準 (AES) | 用於加密的對稱分組密碼 | 256 位元密鑰 (AES-256) |
| Elliptic Curve Diffie-Hellman (ECDH) 金鑰交換 | 用於建立共享秘密(金鑰)的非對稱演算法 | 384 位質數模量曲線 (P-384) |
| Elliptic 曲線數位簽名演算法 (ECDSA) | 用於數位簽章的非對稱演算法 | 384 位質數模量曲線 (P-384) |
| 安全雜湊演算法 (SHA) | 加密雜湊函數 | SHA-384 |
| Diffie-Hellman (DH) 金鑰交換 | 用於建立共享秘密(金鑰)的非對稱演算法 | 3072 位元模數 |
| Rivest-Shamir-Adleman (RSA) | 用於數位簽章或金鑰建立的非對稱演算法 | 3072 位元模數 |
為了符合 CNSA 需求,WPA3-Enterprise 192 位元模式要求搭配這些受限制的加密套件使用 EAP-TLS:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384- 使用 384 位元素數模量曲線 P-384 的 ECDHE 和 ECDSA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384/TLS_DHE_RSA_AES_256_GCM_SHA384使用 384 位元素數模量曲線 P-384 的 ECDHE
RSA >= 3072 位元模數
Note
P-384 也稱為 secp384r1或nistp384。 不允許其他橢圓曲線,例如 P-521。
SHA-384 屬於 SHA-2 雜湊函數系列。 不允許其他演算法和變體,例如SHA-512或SHA3-384。
Windows 僅支援 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384WPA3-Enterprise 192 位元模式的 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384和密碼套件。 不支援TLS_DHE_RSA_AES_256_GCM_SHA384密碼套件。
TLS 1.3 使用新的簡化 TLS 套件,其中僅TLS_AES_256_GCM_SHA384與 WPA3-Enterprise 192 位元模式相容。 由於 TLS 1.3 需要 (EC)DHE 並允許 ECDSA 或 RSA 證書以及 AES-256 AEAD 和 SHA384 雜湊,TLS_AES_256_GCM_SHA384因此相當於TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384和TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384。 但是, RFC 8446 要求符合 TLS 1.3 的應用程式支援 P-256,這是 CNSA 禁止的。 因此,WPA3-Enterprise 192 位元模式無法完全相容於 TLS 1.3。 但是,TLS 1.3 和 WPA3-Enterprise 192 位元模式不存在已知的互通性問題。
要設置 WPA3-Enterprise 192 位元模式的網路,Windows 要求將 EAP-TLS 與滿足前述要求的憑證結合使用。