共用方式為

EAP - Windows 11 中的更改

  • 發行項

適用於:Windows 11、Windows 10

Windows 11 支援 WPA3-Enterprise,這是一種 Wi-Fi 安全標準,設置了一組有關 EAP 驗證的伺服器憑證驗證的要求。 Windows 11 預設也支援 TLS 1.3。 本文詳細介紹了由於這些功能而導致的 Windows 11 中 EAP 行為的變化。

更新了 Windows 11 中的伺服器憑證驗證行為

在先前的 Windows 版本(包括 Windows 10)中,EAP 方法之間的伺服器憑證驗證邏輯有所不同。 在 Windows 11 中,我們調整了所有 EAP 方法,使其以一致且可預測的方式執行,這也符合 WPA3-Enterprise 規範。 此新行為適用於使用 Windows 隨附的第一方 EAP 方法的任何 EAP 驗證,包括 Wi-Fi、乙太網路和 VPN 方案。

如果滿足以下條件之一,Windows 將信任伺服器憑證:

  • 伺服器證書指紋已新增至設置檔。

    注意

    如果使用者在沒有預先設置設置檔的情況下進行連接,或者在設置檔中啟用了伺服器驗證的使用者提示,則當使用者透過 UI 提示接受伺服器時,指紋將自動新增至設置檔中。

  • 滿足以下所有條件:
    1. 伺服器憑證鏈受到機器或使用者的信任。
      • 此信任基於電腦或使用者信任的根儲存中存在的根證書,具體取決於 OneX authMode
    2. 受信任的根憑證指紋已新增至設置檔。
    3. 如果啟用了伺服器名稱驗證(建議),則該名稱與設置檔中指定的名稱相符。
      • 更多詳細資訊,請參閱伺服器驗證以獲取有關在設置檔中設置伺服器名稱驗證的更多資訊。

從 Windows 10 升級到 Windows 11 的潛在問題

在 Windows 10 中,在某些情況下,PEAP 和 EAP-TLS 驗證可以僅依據 Windows 受信任根儲存體中受信任根憑證的存在來成功驗證伺服器。 如果您發現升級到 Windows 11 後 EAP 驗證始終失敗,請檢查連線設置檔以確保它們符合前述行為的新要求。

在大多數情況下,假設根憑證已存在於受信任的根儲存中,則在設置檔中指定受信任的根憑證指紋足以解決問題。

另一件需要注意的事情是,在 Windows 11 版本 21H2(內部版本號 22000)中,伺服器名稱匹配區分大小寫。 在 Windows 11 版本 22H2(內部版本號 22621)中,伺服器名稱匹配已調整回不區分大小寫。 如果您使用伺服器名稱驗證,請確保設置檔中指定的名稱與伺服器名稱完全匹配,或升級至 Windows 11 版本 22H2 或更高版本。

通配符憑證

在 Windows 11 中,Windows 將不再立即拒絕憑證通用名稱中含有通配符 (*CN) 的伺服器憑證。 不過,建議在 [主體替代名稱][SubjectAltName/SAN] 延伸模組欄位中使用 DNS 名稱,因為 Windows 會在檢查 SAN 包含 DNS 名稱選擇時忽略 CN 元件。 SubjectAltName DNS 名稱支援 Windows 11 中的通配符,如同在舊版 Windows 上一樣。

注意

上述所有信任伺服器證書的條件仍適用於通配符憑證。

WPA3-Enterprise Trust Override Disable (TOD) 策略

WPA3-Enterprise 要求裝置信任伺服器憑證 - 如果伺服器驗證失敗,Windows 將不會進入 EAP 交換的第 2 階段。 如果伺服器憑證不受信任,系統將提示使用者接受伺服器憑證。 此行為稱為 User Override of Server Certificate (UOSC)。 若要為沒有預先設置設置檔的電腦停用 UOSC,可以在伺服器憑證上設置 Trust Override Disable 政策。

TOD 策略透過包含特定的 OID 在伺服器憑證的憑證原則擴充中指示。 支援以下政策:

  • TOD-STRICT:如果伺服器憑證不受信任,則不會提示使用者接受伺服器憑證。 認證將會失敗。 該策略具有 OID1.3.6.1.4.1.40808.1.3.1
  • TOD-TOFU(首次使用時信任):如果伺服器憑證不受信任,則僅在第一次連線時提示使用者接受伺服器憑證。 如果使用者接受伺服器證書,伺服器證書將新增至設置檔中,並且身份驗證將繼續。 但後續連線會要求伺服器憑證可信,不會再次提示。 該策略具有 OID1.3.6.1.4.1.40808.1.3.2

TLS 1.3

Windows 11 預設在系統範圍內啟用 TLS 1.3,雖然 EAP-TLS 使用 TLS 1.3,但 PEAP 和 EAP-TTLS 繼續使用 TLS 1.2。 Windows 11 版本 22H2(內部版本號 22621)更新了這些方法以預設使用 TLS 1.3。

TLS 1.3 和 Windows 11 的已知問題

  • NPS 目前不支援 TLS 1.3。
  • 某些舊版的第三方 RADIUS 伺服器可能會錯誤地宣傳 TLS 1.3 支援。 如果您在 Windows 11 22H2 中使用 TLS 1.3 驗證 EAP-TLS 時遇到問題,請確保 RADIUS 伺服器已修補並保持最新狀態,或已停用 TLS 1.3。
  • 目前不支援會話恢復。 Windows 使用者端將始終進行完整身份驗證。