다음을 통해 공유


EAP - Windows 11의 변경 내용

Windows 11은 EAP 인증에 대한 서버 인증서 유효성 검사와 관련한 요구 사항 집합을 정의하는 Wi-Fi 보안 표준인 WPA3-Enterprise를 지원합니다. Windows 11은 기본적으로 TLS 1.3도 지원합니다. 이 문서에서는 이러한 기능으로 인해 Windows 11에서 EAP 동작이 변경된 내용에 대해 자세히 설명합니다.

Windows 11에서 서버 인증서 유효성 검사 동작이 업데이트됨

Windows 10을 비롯한 이전 Windows 릴리스에서 서버 인증서 유효성 검사 논리는 EAP 방법 별로 다양했습니다. Windows 11에서는 WPA3-Enterprise 사양과도 일치하는 일관되고 예측 가능한 방식으로 동작하도록 모든 EAP 방식을 조정했습니다. 이 새로운 동작은 Wi-Fi, 이더넷 및 VPN 시나리오를 포함하여 Windows와 함께 제공되는 자사 EAP 방식을 사용하는 모든 EAP 인증에 적용됩니다.

다음 조건 중 하나가 충족되면 Windows에서 서버 인증서를 신뢰합니다.

  • 서버 인증서 지문이 프로필에 추가되었습니다.

    참고 항목

    사용자가 미리 구성된 프로필 없이 연결 중이거나 프로필에서 서버 유효성 검사 프롬프트가 사용하도록 설정된 경우 사용자가 UI 프롬프트를 통해 서버를 수락하는 경우 지문이 프로필에 자동으로 추가됩니다.

  • 다음 조건이 모두 충족되었는지 확인합니다:
    1. 서버 인증서 체인은 컴퓨터 또는 사용자가 신뢰합니다.
      • 이 신뢰는 OneX authMode에 따라 컴퓨터 또는 사용자가 신뢰할 수 있는 루트 저장소에 있는 루트 인증서를 기반으로 합니다.
    2. 신뢰할 수 있는 루트 인증서 지문이 프로필에 추가되었습니다.
    3. 서버 이름 유효성 검사를 사용하도록 설정(권장)하는 경우 이름은 프로필에 지정된 이름과 일치합니다.
      • 자세한 내용은 프로필에서 서버 이름 유효성 검사를 구성하는 방법에 대한 자세한 내용은 서버 유효성 검사를 참조하세요.

Windows 10에서 Windows 11로 업그레이드할 때 발생할 수 있는 문제

Windows 10에서 특정 상황에서 PEAP 및 EAP-TLS 인증은 Windows 신뢰할 수 있는 루트 저장소에 신뢰할 수 있는 루트 인증서가 있는 것만을 기반으로 서버의 유효성을 성공적으로 검사할 수 있습니다. Windows 11로 업그레이드한 후 EAP 인증이 지속적으로 실패하는 경우 연결 프로필을 확인하여 이전에 설명한 동작에 대한 새로운 요구 사항을 준수하는지 확인합니다.

대부분의 경우 루트 인증서가 신뢰할 수 있는 루트 저장소에 이미 있다고 가정하여 프로필에서 신뢰할 수 있는 루트 인증서 지문을 지정하는 것만으로도 문제를 해결할 수 있습니다.

또 다른 점은 서버 이름 일치는 Windows 11 버전 21H2(빌드 번호 22000)에서 대/소문자를 구분한다는 것입니다. 서버 이름 일치는 Windows 11 버전 22H2(빌드 번호 22621)에서 대/소문자를 구분하지 않을 수 있도록 다시 조정되었습니다. 서버 이름 유효성 검사를 사용하는 경우 프로필에 지정된 이름이 서버 이름과 정확히 일치하는지 확인하거나 Windows 11 버전 22H2 이상으로 업그레이드합니다.

와일드카드 인증서

Windows 11에서는 더 이상 인증서 일반 이름 (CN)에 와일드카드(*)가 포함된 서버 인증서를 즉시 거부하지 않습니다. 그러나 SAN에 DNS 이름 선택이 포함된 경우 DNS 일치를 확인할 때 Windows에서 CN 구성 요소를 무시하므로 주체 대체 이름(SubjectAltName/SAN) 확장 필드의 DNS 이름을 사용하는 것이 좋습니다. SubjectAltName DNS 이름은 이전 버전의 Windows와 마찬가지로 Windows 11에서 와일드카드를 지원합니다.

참고 항목

서버 인증서를 신뢰하기 위해 위에서 설명한 모든 조건은 여전히 와일드카드 인증서에 적용됩니다.

WPA3-Enterprise Trust Override Disable(TOD) 정책

WPA3-Enterprise를 사용하려면 디바이스에서 서버 인증서를 신뢰해야 합니다. 서버 유효성 검사에 실패하면 Windows는 EAP 교환의 2단계에 들어가지 않습니다. 서버 인증서를 신뢰할 수 없는 경우 사용자에게 서버 인증서를 수락하라는 메시지가 표시됩니다. 이 동작을 서버 인증서의 사용자 재정의 (UOSC)라고 합니다. 미리 구성된 프로필이 없는 컴퓨터에 대해 UOSC를 사용하지 않도록 설정하려면 서버 인증서에서 신뢰 재정의 비활성화 (TOD) 정책을 설정할 수 있습니다.

TOD 정책은 특정 OID를 포함하여 서버 인증서의 인증서 정책 확장에 표시됩니다. 다음 정책을 지원합니다.

  • TOD-STRICT: 서버 인증서를 신뢰할 수 없는 경우, 사용자에게 서버 인증서를 수락하라는 메시지가 표시되지 않습니다. 인증이 실패하게 됩니다. 이 정책에는 OID 1.3.6.1.4.1.40808.1.3.1가 있습니다.
  • TOD-TOFU (처음 사용할 때 신뢰): 서버 인증서를 신뢰할 수 없는 경우 첫 번째 연결에서만 서버 인증서를 수락하라는 메시지가 표시됩니다. 사용자가 서버 인증서를 수락하면 서버 인증서가 프로필에 추가되고 인증이 계속됩니다. 그러나 후속 연결을 사용하려면 서버 인증서를 신뢰할 수 있어야 하며 다시 메시지가 표시되지 않습니다. 이 정책에는 OID 1.3.6.1.4.1.40808.1.3.2가 있습니다.

TLS 1.3

Windows 11은 기본적으로 시스템 전체에서 TLS 1.3을 사용하도록 설정했으며 EAP-TLS가 TLS 1.3을 사용하는 동안 PEAP 및 EAP-TTLS는 TLS 1.2를 계속 사용했습니다. Windows 11 버전 22H2(빌드 번호 22621)는 기본적으로 TLS 1.3을 사용하도록 이러한 메서드를 업데이트했습니다.

TLS 1.3 및 Windows 11의 알려진 문제

  • 현재 NPS는 TLS 1.3을 지원하지 않습니다.
  • 일부 이전 버전의 타사 RADIUS 서버는 TLS 1.3 지원을 잘못 보급할 수 있습니다. Windows 11 22H2에서 TLS 1.3을 사용하여 EAP-TLS를 인증하는 데 문제가 발생하는 경우 RADIUS 서버가 패치되고 최신 상태이거나 TLS 1.3이 비활성화되어 있는지 확인합니다.
  • 세션 재개는 현재 지원되지 않습니다. Windows 클라이언트는 항상 전체 인증을 수행합니다.