Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
System Windows 11 obsługuje standard zabezpieczeń WPA3-Enterprise Wi-Fi, który definiuje zestaw wymagań dotyczących weryfikacji certyfikatu serwera na potrzeby uwierzytelniania protokołu EAP. System Windows 11 domyślnie obsługuje również protokół TLS 1.3. W tym artykule szczegółowo opisano zmiany zachowania protokołu EAP w systemie Windows 11 z powodu tych funkcji.
Zaktualizowano zachowanie sprawdzania poprawności certyfikatu serwera w systemie Windows 11
W poprzednich wersjach systemu Windows, w tym Windows 10, logika weryfikacji certyfikatu serwera różniła się między metodami protokołu EAP. W systemie Windows 11 dostosowaliśmy wszystkie metody protokołu EAP do zachowania się w spójny i przewidywalny sposób, który jest również zgodny ze specyfikacją WPA3-Enterprise. To nowe zachowanie dotyczy dowolnego uwierzytelniania protokołu EAP przy użyciu metod protokołu EAP pierwszej firmy, które są dostarczane z systemem Windows, w tym scenariuszy sieci Wi-Fi, Ethernet i VPN.
System Windows będzie ufać certyfikatowi serwera, jeśli zostanie spełniony jeden z następujących warunków:
- Odcisk palca certyfikatu serwera został dodany do profilu.
Uwaga
Jeśli użytkownik łączy się bez wstępnie skonfigurowanego profilu lub jeśli w profilu jest włączony monit o weryfikację serwera, odcisk palca zostanie automatycznie dodany do profilu, jeśli użytkownik zaakceptuje serwer za pośrednictwem wiersza polecenia interfejsu użytkownika.
- Spełnione są wszystkie następujące warunki:
- Łańcuch certyfikatów serwera jest zaufany przez maszynę lub użytkownika.
- To zaufanie jest oparte na certyfikacie głównym, który jest obecny na komputerze lub zaufanym głównym magazynie certyfikatów użytkownika, w zależności od trybu uwierzytelniania OneX.
- Odcisk palca zaufanego certyfikatu głównego został dodany do profilu.
- Jeśli weryfikacja nazwy serwera jest włączona (zalecana), nazwa jest zgodna z tym, co określono w profilu.
- Aby uzyskać więcej informacji, zobacz Walidacja serwera , aby uzyskać więcej informacji na temat konfigurowania walidacji nazwy serwera w profilu.
- Łańcuch certyfikatów serwera jest zaufany przez maszynę lub użytkownika.
Potencjalne problemy z uaktualnianiem z systemu Windows 10 do systemu Windows 11
W systemie Windows 10 w pewnych okolicznościach uwierzytelnianie PEAP i EAP-TLS może pomyślnie zweryfikować serwer wyłącznie na podstawie obecności zaufanego certyfikatu głównego w zaufanym magazynie głównym systemu Windows. Jeśli zauważysz, że uwierzytelnianie EAP stale kończy się niepowodzeniem po uaktualnieniu do systemu Windows 11, sprawdź profil połączenia, aby upewnić się, że są one zgodne z nowymi wymaganiami dotyczącymi wcześniej opisanego zachowania.
W większości przypadków określenie odcisku palca zaufanego certyfikatu głównego w profilu wystarczy, aby rozwiązać ten problem, zakładając, że certyfikat główny jest już obecny w zaufanym magazynie głównym.
Należy pamiętać, że w systemie Windows 11 w wersji 21H2 (numer kompilacji 22000) jest rozróżniana wielkość liter w systemie Windows 11. Dopasowanie nazwy serwera zostało na powrót dostosowane tak, aby nie uwzględniało wielkości liter w systemie Windows 11 w wersji 22H2 (numer kompilacji 22621). Jeśli używasz weryfikacji nazwy serwera, upewnij się, że nazwa określona w profilu jest zgodna z nazwą serwera dokładnie lub uaktualnij system Windows 11 w wersji 22H2 lub nowszej.
Certyfikaty typu wildcard
W systemie Windows 11 system Windows nie będzie już natychmiast odrzucać certyfikatów serwera, które zawierają symbol wieloznaczny () w nazwie pospolitej certyfikatu* (CN). Zaleca się jednak użycie nazwy DNS w polu rozszerzenia Nazwa alternatywna podmiotu (SubjectAltName/SAN), ponieważ system Windows zignoruje komponenty CN podczas sprawdzania dopasowania DNS, jeśli SAN zawiera opcję nazwy DNS. Nazwa DNS SubjectAltName obsługuje symbol wieloznaczny w systemie Windows 11, podobnie jak w poprzednich wersjach systemu Windows.
Uwaga
Wszystkie warunki opisane powyżej dotyczące zaufania certyfikatowi serwera nadal mają zastosowanie do certyfikatów wieloznacznych.
WPA3-Enterprise Zasady wyłączania modyfikacji zaufania (TOD)
WPA3-Enterprise wymaga, aby urządzenie ufało certyfikatowi serwera — jeśli weryfikacja serwera zakończy się niepowodzeniem, system Windows nie wejdzie do fazy 2 wymiany EAP. Jeśli certyfikat serwera nie jest zaufany, użytkownik zostanie poproszony o zaakceptowanie certyfikatu serwera. To zachowanie jest nazywane ręcznym zastąpieniem certyfikatu serwera przez użytkownika (UOSC). Aby wyłączyć funkcję UOSC dla maszyn bez wstępnie skonfigurowanego profilu, można ustawić polityki Wyłączenia zastępowania zaufania (TOD) na certyfikacie serwera.
Zasady TOD są wskazywane w rozszerzeniu Zasady certyfikatu serwera przez dołączenie określonego identyfikatora OID. Obsługiwane są następujące zasady:
- TOD-STRICT: Jeśli certyfikat serwera nie jest zaufany, użytkownik nie będzie monitowany o zaakceptowanie certyfikatu serwera. Uwierzytelnianie zakończy się niepowodzeniem. Ta polityka ma OID
1.3.6.1.4.1.40808.1.3.1. - TOD-TOFU (Ufaj przy pierwszym użyciu): jeśli certyfikat serwera nie jest zaufany, użytkownik zostanie poproszony o zaakceptowanie certyfikatu serwera tylko w pierwszym połączeniu. Jeśli użytkownik zaakceptuje certyfikat serwera, certyfikat serwera zostanie dodany do profilu, a uwierzytelnianie będzie kontynuowane. Jednak kolejne połączenia będą wymagać zaufania certyfikatu serwera i system nie będzie już ponownie prosić o zaufanie. Ta zasada ma OID
1.3.6.1.4.1.40808.1.3.2.
TLS 1.3
System Windows 11 domyślnie włączył protokół TLS 1.3, a EAP-TLS używał protokołu TLS 1.3, podczas gdy PEAP i EAP-TTLS nadal używały protokołu TLS 1.2. System Windows 11 w wersji 22H2 (numer kompilacji 22621) zaktualizował te metody do domyślnego używania protokołu TLS 1.3.
Znane problemy z protokołami TLS 1.3 i Windows 11
- Serwer NPS nie obsługuje obecnie protokołu TLS 1.3.
- Niektóre starsze wersje serwerów RADIUS innych firm mogą niepoprawnie anonsować obsługę protokołu TLS 1.3. Jeśli występują problemy z uwierzytelnianiem EAP-TLS przy użyciu protokołu TLS 1.3 z systemem Windows 11 22H2, upewnij się, że serwer RADIUS jest poprawiony i aktualny lub ma wyłączony protokół TLS 1.3.
- Wznowienie sesji nie jest obecnie obsługiwane. Klienci systemu Windows zawsze będą wykonywać pełne uwierzytelnianie.