EAP: wat is er gewijzigd in Windows 11

Windows 11 ondersteunt WPA3-Enterprise, een Wi-Fi beveiligingsstandaard die een set vereisten definieert voor servercertificaatvalidatie voor EAP-verificatie. Windows 11 biedt standaard ook ondersteuning voor TLS 1.3. In dit artikel worden de wijzigingen in het EAP-gedrag in Windows 11 beschreven vanwege deze functies.

Validatiegedrag van servercertificaat bijgewerkt in Windows 11

In eerdere Versies van Windows, waaronder Windows 10, varieert de validatielogica van het servercertificaat tussen EAP-methoden. In Windows 11 hebben we alle EAP-methoden aangepast om zich op een consistente en voorspelbare manier te gedragen, wat ook consistent is met de WPA3-Enterprise specificatie. Dit nieuwe gedrag is van toepassing op EAP-verificaties van de eerste partij die worden verzonden met Windows, waaronder Wi-Fi-, Ethernet- en VPN-scenario's.

Windows vertrouwt het servercertificaat als aan een van de volgende voorwaarden wordt voldaan:

• De vingerafdruk van het servercertificaat is toegevoegd aan het profiel.

  Note

  Als de gebruiker verbinding maakt zonder een vooraf geconfigureerd profiel of als promptvragen voor servervalidatie in het profiel zijn ingeschakeld, wordt de vingerafdruk automatisch aan het profiel toegevoegd als de gebruiker de server via de UI-prompt accepteert.

• Aan alle volgende voorwaarden wordt voldaan:
  1. De servercertificaatketen wordt vertrouwd door de machine of gebruiker.
     • Deze vertrouwensrelatie is gebaseerd op het basiscertificaat dat aanwezig is op de computer of het vertrouwde basisarchief van de gebruiker, afhankelijk van de OneX-verificatiemodus.
  2. De vingerafdruk van het vertrouwde basiscertificaat is toegevoegd aan het profiel.
  3. Als validatie van servernamen is ingeschakeld (aanbevolen), komt de naam overeen met wat in het profiel is opgegeven.
     • Zie Servervalidatie voor meer informatie over het configureren van servernaamvalidatie in het profiel.

Mogelijke problemen bij het upgraden van Windows 10 naar Windows 11

In Windows 10 kunnen PEAP- en EAP-TLS-verificaties onder bepaalde omstandigheden de server met succes valideren, uitsluitend op basis van de aanwezigheid van het vertrouwde basiscertificaat in de vertrouwde rootopslag van Windows. Als u merkt dat een EAP-verificatie consistent mislukt na een upgrade naar Windows 11, controleert u het verbindingsprofiel om ervoor te zorgen dat deze voldoen aan de nieuwe vereisten voor het eerder beschreven gedrag.

In de meeste gevallen is het opgeven van de vingerafdruk van het vertrouwde basiscertificaat in het profiel voldoende om het probleem op te lossen, ervan uitgaande dat het basiscertificaat al aanwezig is in het vertrouwde basisarchief.

Een ander belangrijk punt is dat servernaamvergelijking hoofdlettergevoelig is in Windows 11 versie 21H2 (buildnummer 22000). De overeenkomende servernaam is aangepast om niet hoofdlettergevoelig te zijn in Windows 11 versie 22H2 (buildnummer 22621). Als u servernaamvalidatie gebruikt, moet u ervoor zorgen dat de naam die is opgegeven in het profiel exact overeenkomt met de servernaam of een upgrade uitvoert naar Windows 11 versie 22H2 of hoger.

Wildcard-certificaten

In Windows 11 worden servercertificaten die een jokerteken (*) in het certificaat Common Name (CN) bevatten, niet meer onmiddellijk geweigerd. Het wordt echter aanbevolen dat de DNS-naam in het extensieveld Onderwerp alternatieve naam (SubjectAltName/SAN) wordt gebruikt, omdat Windows de CN-onderdelen negeert bij het controleren op een DNS-overeenkomst als de SAN een DNS-naamkeuze bevat. De DNS-naam SubjectAltName ondersteunt een jokerteken in Windows 11, zoals in eerdere versies van Windows.

WPA3-Enterprise Beleid voor uitschakelen van vertrouwen (TOD)

WPA3-Enterprise vereist dat het apparaat het servercertificaat vertrouwt. Als servervalidatie mislukt, wordt Windows niet ingevoerd in fase 2 van de EAP-uitwisseling. Als het servercertificaat niet wordt vertrouwd, wordt de gebruiker gevraagd het servercertificaat te accepteren. Dit gedrag wordt User Override of Server Certificate (UOSC) genoemd. Als u UOSC wilt uitschakelen voor computers zonder een vooraf geconfigureerd profiel, is het mogelijk om tod-beleid ( Trust Override Disable ) in te stellen op het servercertificaat.

De TOD-beleidsregels worden aangegeven in de extensie Certificaatbeleid van het servercertificaat door een specifieke OID op te geven. De volgende beleidsregels worden ondersteund:

• TOD-STRICT: Als het servercertificaat niet wordt vertrouwd, wordt de gebruiker niet gevraagd het servercertificaat te accepteren. De verificatie mislukt. Dit beleid heeft de OID 1.3.6.1.4.1.40808.1.3.1.
• TOD-TOFU (Vertrouwen bij eerste gebruik): als het servercertificaat niet wordt vertrouwd, wordt de gebruiker gevraagd het servercertificaat alleen te accepteren bij de eerste verbinding. Als de gebruiker het servercertificaat accepteert, wordt het servercertificaat toegevoegd aan het profiel en wordt de verificatie voortgezet. Voor volgende verbindingen moet het servercertificaat echter worden vertrouwd en zal er niet opnieuw om gevraagd worden. Dit beleid heeft de OID 1.3.6.1.4.1.40808.1.3.2.

TLS 1.3

Windows 11 heeft TLS 1.3 standaard systeemwijd ingeschakeld, en terwijl EAP-TLS TLS 1.3 gebruikte, bleven PEAP en EAP-TTLS TLS 1.2 gebruiken. Windows 11 versie 22H2 (buildnummer 22621) heeft deze methoden bijgewerkt om TLS 1.3 standaard te gebruiken.

Bekende problemen met TLS 1.3 en Windows 11

• NPS biedt momenteel geen ondersteuning voor TLS 1.3.
• Sommige oudere versies van RADIUS-servers van derden kunnen tls 1.3-ondersteuning onjuist adverteren. Als u problemen ondervindt met het verifiëren van EAP-TLS met TLS 1.3 met Windows 11 22H2, controleert u of de RADIUS-server is bijgewerkt en of TLS 1.3 is uitgeschakeld.
• Sessie hervatten wordt momenteel niet ondersteund. Windows-clients voeren altijd een volledige verificatie uit.