Поделиться через

EAP — что изменилось в Windows 11

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Windows 11 поддерживает WPA3-Enterprise, стандарт безопасности Wi-Fi, определяющий набор требований для проверки сертификата сервера для проверки подлинности EAP. Windows 11 также поддерживает TLS 1.3 по умолчанию. В этой статье описаны изменения поведения EAP в Windows 11 из-за этих функций.

Обновлено поведение проверки сертификата сервера в Windows 11

В предыдущих выпусках Windows, включая Windows 10, логика проверки сертификатов сервера отличается от методов EAP. В Windows 11 мы отрегулировали все методы EAP для согласованного и предсказуемого поведения, что также соответствует спецификации WPA3-Enterprise. Это новое поведение применяется к любой проверке подлинности EAP с помощью первых методов EAP, которые поставляются с Windows, включая Wi-Fi, Ethernet и СЦЕНАРИИ VPN.

Windows будет доверять сертификату сервера, если выполняется одно из следующих условий:

  • Отпечаток сертификата сервера добавлен в профиль.

    Примечание.

    Если пользователь подключается без предварительно настроенного профиля или если в профиле включены запросы пользователя на проверку сервера, отпечаток будет автоматически добавлен в профиль, если пользователь принимает сервер через запрос пользовательского интерфейса.

  • Выполняются все следующие условия:
    1. Цепочка сертификатов сервера доверяется компьютеру или пользователю.
      • Это доверие основано на корневом сертификате, который присутствует на компьютере или в доверенном корневом хранилище пользователя, в зависимости от oneX authMode.
    2. Отпечаток доверенного корневого сертификата добавлен в профиль.
    3. Если проверка имени сервера включена (рекомендуется), имя соответствует указанному в профиле.
      • Дополнительные сведения см. в статье "Проверка сервера" для получения дополнительных сведений о настройке проверки имени сервера в профиле.

Потенциальные проблемы, связанные с обновлением с Windows 10 до Windows 11

В Windows 10 при определенных обстоятельствах проверка подлинности PEAP и EAP-TLS может успешно проверить сервер исключительно на наличие доверенного корневого сертификата в доверенном корневом хранилище Windows. Если вы видите, что проверка подлинности EAP постоянно завершается ошибкой после обновления до Windows 11, проверьте профиль подключения, чтобы убедиться, что они соответствуют новым требованиям к ранее описанному поведению.

В большинстве случаев указание отпечатка доверенного корневого сертификата в профиле достаточно, чтобы устранить проблему, если корневой сертификат уже присутствует в доверенном корневом хранилище.

Кроме того, следует отметить, что сопоставление имен сервера учитывает регистр в Windows 11 версии 21H2 (номер сборки 22000). Сопоставление имен сервера было изменено, чтобы регистр не учитывается в Windows 11 версии 22H2 (номер сборки 22621). Если вы используете проверку имени сервера, убедитесь, что имя, указанное в профиле, соответствует имени сервера точно или обновляется до Windows 11 версии 22H2 или более поздней.

Подстановочные сертификаты

В Windows 11 Windows больше не будет немедленно отклонять сертификаты сервера, содержащие подстановочный знак (*) в общем имени сертификата (CN). Однако рекомендуется использовать DNS-имя в поле расширения "Альтернативное имя субъекта" (SubjectAltName/SAN), так как Windows будет игнорировать компоненты CN при проверке соответствия DNS, если san содержит выбор DNS-имени. DNS-имя SubjectAltName поддерживает подстановочный знак в Windows 11, так как он имеется в предыдущих версиях Windows.

Примечание.

Все описанные выше условия для доверия сертификату сервера по-прежнему применяются к подстановочным сертификатам.

Политики отключения доверия (TOD) WPA3-Enterprise Trust Override (TOD)

WPA3-Enterprise требует, чтобы устройство доверяет сертификату сервера. Если проверка сервера завершается ошибкой, Windows не войдет в этап 2 обмена EAP. Если сертификат сервера не является доверенным, пользователю будет предложено принять сертификат сервера. Это поведение называется переопределением пользователя сертификата сервера (UOSC). Чтобы отключить UOSC для компьютеров без предварительно настроенного профиля, можно задать политики переопределения доверия ( TOD) на сертификате сервера.

Политики TOD указываются в расширении политик сертификатов сертификата сервера, включая определенный OID. Поддерживаются следующие политики:

  • TOD-STRICT: если сертификат сервера не является доверенным, пользователю не будет предложено принять сертификат сервера. Проверка подлинности завершится ошибкой. Эта политика содержит идентификатор OID 1.3.6.1.4.1.40808.1.3.1.
  • TOD-TOFU (trust On First Use): Если сертификат сервера не является доверенным, пользователю будет предложено принять сертификат сервера только для первого подключения. Если пользователь принимает сертификат сервера, сертификат сервера будет добавлен в профиль, а проверка подлинности продолжается. Однако последующие подключения потребуют доверенного сертификата сервера и не будут запрашивать повторно. Эта политика содержит идентификатор OID 1.3.6.1.4.1.40808.1.3.2.

Протокол TLS 1.3

Windows 11 включил TLS 1.3 по умолчанию по всей системе, и в то время как EAP-TLS использовал TLS 1.3, PEAP и EAP-TTLS продолжали использовать TLS 1.2. Windows 11 версии 22H2 (номер сборки 22621) обновил эти методы, чтобы использовать TLS 1.3 по умолчанию.

Известные проблемы с TLS 1.3 и Windows 11

  • В настоящее время NPS не поддерживает TLS 1.3.
  • Некоторые старые версии сторонних серверов RADIUS могут неправильно объявлять поддержку TLS 1.3. Если у вас возникли проблемы с проверкой подлинности EAP-TLS с TLS 1.3 с Windows 11 22H2, убедитесь, что сервер RADIUS исправлен и обновлен или отключен TLS 1.3.
  • Возобновление сеанса в настоящее время не поддерживается. Клиенты Windows всегда будут выполнять полную проверку подлинности.