用於網路造訪的 Extensible Authentication Protocol (EAP)
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows 11、Windows 10、Windows 8.1
Extensible Authentication Protocol (EAP) 是一種認證框架,允許使用不同的身份驗證方法來進行安全網路造訪技術。 這些技術的範例包括使用 IEEE 802.1X 的無線造訪、使用 IEEE 802.1X 的有線造訪以及點對點協議(PPP)連接,如虛擬私人網路(VPN)。 EAP 不是像 MS-CHAP v2 這樣的特定身份驗證方法,而是一個框架,使網路供應商能夠開發並安裝新的身份驗證方法,稱為 EAP 方法,用於造訪客戶端和身份驗證伺服器。 EAP 框架最初由 RFC 3748 設置,並透過其他各種 RFC 和標準進行擴展。
驗證方法
在通道 EAP 方法中使用的 EAP 認證方法通常稱為內部方法或 EAP 類型。 設置為內部方法的方法具有與它們作為外部方法時相同的設置設置。 本文包含特定於以下 EAP 中身份驗證方法的設置資訊。
EAP-Transport Layer Security(EAP-TLS):使用 TLS 和證書進行相互身份驗證的基於標準的 EAP 方法。 在 Windows 中顯示為智慧卡或其他證書(EAP-TLS)。 EAP-TLS 可以部署為另一個 EAP 方法的內部方法或獨立的 EAP 方法。
提示
使用 EAP-TLS 的 EAP 方法,作為基於證書的方法,通常提供最高級別的安全性。 例如,EAP-TLS 是 WPA3-Enterprise 192 位模式的唯一允許的 EAP 方法。
EAP-Microsoft Challenge Handshake Authentication Protocol version 2(EAP-MSCHAP v2): Microsoft 設置的 EAP 方法,封裝了 MSCHAP v2 身份驗證協議,該協議使用使用者名和密碼進行身份驗證。 在 Windows 中顯示為安全密碼(EAP-MSCHAP v2)。 EAP-MSCHAPv2 可以作為 VPN 的獨立方法使用,但只能作為有線 / 無線的內部方法。
警告
基於 MSCHAPv2 的連接易受與 NTLMv1 相似的攻擊。 Windows 11 企業版,版本 22H2(版本 22621)啟用了 Windows Defender Credential Guard,這可能會導致基於 MSCHAPv2 的連接出現問題。
受保護的 EAP (PEAP): Microsoft 設置的 EAP 方法,將 EAP 封裝在 TLS 通道內。 TLS 通道保護內部 EAP 方法,否則此方法可能會不受保護。 Windows 支援 EAP-TLS 和 EAP-MSCHAP v2 作為內部方法。
EAP 通道傳送層安全性 (EAP-TTLS):由 RFC 5281 描述,封裝使用另一種內部驗證機制執行相互驗證的 TLS 會話。 此內部方法可以是 EAP 協定(例如 EAP-MSCHAP v2),也可以是非 EAP 協定(例如 Password Authentication Protocol (PAP))。 在 Windows Server 2012 中,EAP-TTLS 的包含僅提供使用者端支援(在 Windows 8 中)。 NPS 目前不支援 EAP-TTLS。 客戶端支援可以與支援 EAP-TTLS 的常用部署的 RADIUS 伺服器進行互通。
EAP-訂戶身份模組(EAP-SIM)、EAP-身份驗證和金鑰協商(EAP-AKA) 和EAP-AKA Prime (EAP-AKA'):由各種RFC 描述,支援使用SIM 卡進行身份驗證,並實現當客戶從行動網路業者購買無線寬頻服務方案時。 作為該計劃的一部分,客戶通常會收到預先設置用於 SIM 身份驗證的無線設置檔。
Tunnel EAP (TEAP):RFC 7170 中所述的通道 EAP 方法,用於建立安全 TLS 通道並在該通道內執行其他 EAP 方法。 支援 EAP 連結 - 在一個身份驗證會話中對電腦和使用者進行身份驗證。 在 Windows Server 2022 中,包含 TEAP 僅提供對使用者端 - Windows 10 版本 2004(內部版本 19041)的支援。 NPS 目前不支援 TEAP。 客戶端支援可以與支援 TEAP 的常用部署的 RADIUS 伺服器進行互通。 Windows 支援 EAP-TLS 和 EAP-MSCHAP v2 作為內部方法。
下表列出了一些常見的 EAP 方法及其 IANA 指派的方法類型號。
| EAP 方法 | IANA 分配的類型編號 | 本機 Windows 支援 |
|---|---|---|
| MD5-挑戰 (EAP-MD5) | 4 | ❌ |
| 一次性密碼 (EAP-OTP) | 5 | ❌ |
| 通用通關卡 (EAP-GTC) | 6 | ❌ |
| EAP-TLS | 13 | ✅ |
| EAP-SIM | 18 | ✅ |
| EAP-TTLS | 21 | ✅ |
| EAP-AKA | 23 | ✅ |
| PEAP | 25 | ✅ |
| EAP-MSCHAP v2 | 26 | ✅ |
| 受保護的一次性密碼 (EAP-POTP) | 32 | ❌ |
| EAP-FAST | 43 | ❌ |
| 預共用金鑰 (EAP-PSK) | 47 | ❌ |
| EAP-IKEv2 | 49 | ❌ |
| EAP-AKA' | 50 | ✅ |
| EAP-EKE | 53 | ❌ |
| TEAP | 55 | ✅ |
| EAP-NOOB | 56 | ❌ |
設置 EAP 屬性
您可以透過以下方式存取 802.1X 驗證的有線和無線存取的 EAP 屬性:
- 在 Group Policy 中設置 Wired Network (IEEE 802.3) Policies 和 Wireless Network (IEEE 802.11) Policies 擴充。
- 電腦設置原則 >Windows >設置>安全性設置
- 使用行動裝置管理 (MDM) 軟體,例如 Intune (Wi-Fi/Wired)
- 在客戶端電腦上手動設置有線或無線連線。
您可以透過以下方式存取虛擬私人網路 (VPN) 連線的 EAP 屬性:
有關設置 EAP 屬性的詳細資訊,請參閱在 Windows 中設置 EAP 設置檔和設置。
EAP 的 XML 設置檔
用於不同連線類型的設置檔是包含該連線的設置選項的 XML 檔案。 每種不同的連接類型都遵循特定的架構:
但是,當設置為使用 EAP 時,每個設置檔模式都有一個子元素 EapHostConfig 元素。
- 有線/無線:
EapHostConfig是 EAPConfig 元素的子元素。 MSM >全(有線/無線)>OneX >EAPConfig - VPN:
EapHostConfig是 NativeProfile >驗證 >Eap >設置的子元素
此組態語法在 Group Policy:Wireless/Wired Protocol Extension 規格中設置。
注意
各種設置 GUI 並不總是顯示所有技術上可能的選項。 例如,Windows Server 2019 及更早版本無法在 UI 中設置 TEAP。 但是,通常可以匯入先前設置的現有 XML 設置檔。
本文的其餘部分旨在提供群組原則/控制面板 UI 的 EAP 特定部分與 XML 設置選項之間的映射,並提供設置的說明。
有關設置 XML 設置檔的詳細資訊可以在 XML 設置檔中找到。 透過網站設置 Wi-Fi 設置檔中可以找到使用包含 EAP 設置的 XML 設置檔的範例。
安全性設定
下表說明了使用 802.1X 的設置檔的可設置安全性設置。 這些設置映射到 OneX。
| 設定 | XML 元素 | 描述 |
|---|---|---|
| 選擇網路身份驗證方法: | EAP設置 | 可以讓您選擇用於身份驗證的 EAP 方法。 請參閱身份驗證方法設置設置和蜂窩身份驗證設置設置 |
| 屬性 | 開啟所選 EAP 方法的屬性對話框。 | |
| 驗證模式 | 授權模式 | 指定用於身份驗證的憑證類型。 支援以下值: 1. 使用者或電腦身份驗證 2. 電腦認證 3. 使用者認證 4. 訪客認證 在本文中,電腦在其他參考文獻中代表機器。 machineOrUser是 Windows 中的預設值。 |
| 驗證失敗的數目上限 | 最大驗證失敗次數 | 指定一組憑證允許的最大身份驗證失敗次數,預設為1 。 |
| 快取使用者資訊以供後續連接到該網路 | 快取使用者數據 | 指定是否應快取使用者的憑證以供後續連接到同一網路,預設為true。 |
進階安全性設置 >IEEE 802.1X
如果選取強制執行高級 802.1X 設置,則會設置以下所有設置。 如果未選中,則套用預設設置。 在 XML 中,所有元素都是可選的,如果不存在則使用預設值。
| 設定 | XML 元素 | 描述 |
|---|---|---|
| Max Eapol-啟動訊息 | 最大啟動時間 | 指定在請求者(Windows 使用者端)假定不存在身份驗證器之前可以傳送到身份驗證器(RADIUS 伺服器)的 EAPOL-Start 訊息的最大數量,預設為3。 |
| 開始時間(秒) | 開始時間 | 指定發送 EAPOL-Start 訊息以啟動 802.1X 驗證程序之前等待的時間(以秒為單位),預設為5。 |
| 保持時間(秒) | 持有期間 | 指定身份驗證嘗試失敗後重新嘗試身份驗證的等待時間(以秒為單位),預設為1。 |
| 驗證週期(秒) | 授權期間 | 指定在假設不存在身份驗證器之前等待身份驗證器(RADIUS 伺服器)回應的時間段(以秒為單位),預設為18。 |
| Eapol-啟動訊息 | 請求者模式 | 指定用於 EAPOL-Start 訊息的傳送方法。 支援以下值: 1. 不傳送( inhibitTransmission)2. 發送 ( includeLearning)3. 依照 IEEE 802.1X 傳送 ( compliant)在本文中,電腦在其他參考文獻中代表機器。 compliant是 Windows 中的預設設置,也是無線設置檔的唯一有效選項。 |
進階安全設置>單一登入
下表介紹了Single Sign On (SSO)(以前稱為預先登入存取提供者 (PLAP))的設置。
| 設定 | XML 元素 | 描述 |
|---|---|---|
| 為此網路啟用單一登入 | 單一登入 | 指定是否為此網路啟用 SSO,預設為false。 如果網路不需要,請勿singleSignOn在設置檔中使用。 |
| 緊接在使用者之前執行 在使用者之後立即執行 |
type | 指定何時應執行 SSO - 在使用者登入之前或之後。 |
| 連線最大延遲(秒) | 最大延遲 | 指定 SSO 嘗試失敗之前的最大延遲(以秒為單位),預設為10。 |
| 允許在單一登入期間顯示其他對話框 | 允許附加對話框 | 指定是否允許在 SSO 過程中顯示 EAP 對話框,預設為false。 |
| 此網路使用不同的 VLAN 透過電腦和使用者憑證進行身份驗證 | 基於使用者的虛擬區網域網 | 指定設備使用的虛擬 LAN (VLAN) 是否依據使用者的憑證更改,預設為false。 |
身份驗證方法設置設置
警告
如果網路存取伺服器設置為允許通道 EAP 方法(例如 PEAP)和非通道 EAP 方法(例如 EAP-MSCHAP v2)使用相同類型的驗證方法,則存在潛在的安全漏洞。 當您部署通道 EAP 方法和 EAP(不受保護)時,請勿使用相同的驗證類型。 例如,如果您部署 PEAP-TLS,請不要同時部署 EAP-TLS。 這是因為,如果您需要保護通道,那麼允許該方法在通道外部執行也是沒有意義的。
下表說明了每種身份驗證方法的可設置設置。
UI 中的 EAP-TLS 設置映射到 EapTlsConnectionPropertiesV1,它由 EapTlsConnectionPropertiesV2 和 EapTlsConnectionPropertiesV3 擴展。
| 設定 | XML 元素 | 描述 |
|---|---|---|
| 使用我的智慧卡 | 憑證來源>智慧卡 | 指定發出身份驗證請求的使用者端必須提供智慧卡證書以進行網路身份驗證。 |
| 使用這台電腦上的憑證 | 憑證來源>證書儲存 | 指定對使用者端進行身份驗證必須使用位於目前使用者或本機電腦憑證儲存區中的憑證。 |
| 使用簡單憑證選取 (建議使用) | 簡單證書選擇 | 指定 Windows 是否自動選擇憑證進行驗證而無需使用者互動(如果可能),或者 Windows 是否顯示下拉清單以供使用者選擇憑證。 |
| 進階 | 開啟設置證書選擇對話框。 | |
| 伺服器驗證選項 | ||
| 針對連線使用不同的使用者名稱 | 不同的使用者名 | 指定是否使用與憑證中的使用者名稱不同的使用者名稱進行身份驗證。 |
下面列出了設置證書選擇的設置設置。 這些設置設置使用者端用於選擇適當的憑證進行身份驗證的標準。 此 UI 對應到 TLSExtensions>FilteringInfo。
| 設定 | XML 元素 | 描述 |
|---|---|---|
| 證書頒發者 | CA雜湊表Enabled="true" |
指定是否啟用憑證授權單位篩選。 如果同時啟用了 Certificate Issuer 和 Extended Key Usage (EKU),則只有滿足這兩個條件的憑證才被視為有效,可用於向伺服器驗證使用者端身分。 |
| 根證書頒發機構 | 發行者雜湊值 | 列出本機電腦帳戶的Trusted Root Certification Authorities 或Intermediate Certification Authorities 儲存中存在對應憑證授權單位 (CA) 憑證的所有授權單位的名稱。 這包括: 1. 所有根證書頒發機構和中間證書頒發機構。 在 XML 中,這是憑證的 SHA-1 指紋(雜湊)。 |
| 擴充金鑰使用方法 (EKU) | 可以讓您選擇通用、使用者端身份驗證、任意目的或這些的任意組合。 指定選擇組合時,所有至少符合三個條件之一的憑證都被視為用於向伺服器驗證使用者端身分的有效憑證。 如果啟用了 EKU 篩選,則必須選擇其中一項選項,否則 Extended Key Usage (EKU) 勾選框將被取消選取。 | |
| 所有目的 | 通用型 | 選取後,此項目指定具有All Purpose EKU 的憑證被視為用於向伺服器驗證使用者端身分的有效憑證。 通用物件Object Identifier (OID) 0為空。 |
| 用戶端驗證 | ClientAuthEKUListEnabled="true" (> EKUMapInList > EKUName) |
指定具有 Client Authentication EKU和指定的 EKU 清單的憑證被視為用於向伺服器驗證使用者端的有效憑證。 Client Authentication的 Object Identifier (OID) 1.3.6.1.5.5.7.3.2是 。 |
| 任何目的 | AnyPurposeEKUListEnabled="true" (> EKUMapInList > EKUName) |
指定 AnyPurpose EKU和指定的 EKU 清單的所有憑證均視為用於向伺服器驗證使用者端身分的有效憑證。 AnyPurpose 的 Object Identifier (OID) 是1.3.6.1.4.1.311.10.12.1。 |
| 加入 | EKUMapping > EKUMap > EKUName/EKUOID | 開啟選擇 EKU對話框,您可以在其中將標準、自訂或供應商特定的 EKU 新增至 Client Authentication 或 AnyPurpose 清單。 在選擇 EKU 對話框中選擇新增或編輯將開啟新增/編輯 EKU對話框,其中提供兩個選項: 例如,輸入 |
| 編輯 | 使您能夠編輯已新增的自訂 EKU。 無法編輯預設的預設置 EKU。 | |
| 移除 | 從 Client Authentication或 AnyPurpose 清單中刪除選定的 EKU。 |
伺服器驗證
許多 EAP 方法都包含一個供客戶端驗證伺服器憑證的選項。 如果伺服器憑證未經驗證,客戶端就無法確定它正在與正確的伺服器進行通訊。 這使客戶端面臨安全風險,包括客戶端可能在不知情的情況下連接到惡意網路的可能性。
注意
Windows 要求伺服器憑證具有伺服器驗證 EKU。 此 EKU 的物件辨別碼 (OID) 是1.3.6.1.5.5.7.3.1。
下表列出了適用於每種 EAP 方法的伺服器驗證選項。 Windows 11 更新了伺服器驗證邏輯,使其更加一致(請參閱更新 Windows 11 中的伺服器憑證驗證行為)。 如果它們發生衝突,下表中的描述描述了 Windows 10 及更早版本的行為。
| 設定 | XML 元素 | 描述 |
|---|---|---|
| 透過驗證憑證來驗證伺服器的身份 | EAP-TLS: 執行伺服器驗證 PEAP: 執行伺服器驗證 |
此項目指定使用者端驗證提供給使用者端電腦的伺服器憑證是否具有正確的簽章、尚未過期且是由受信任的根憑證授權單位 (CA) 核發的。 停用此勾選框會導致使用者端電腦在身份驗證過程中無法驗證伺服器的身份。 如果不進行伺服器驗證,使用者將面臨嚴重的安全風險,包括使用者可能在不知不覺中連接到惡意網路的可能性。 |
| 連接到這些伺服器 | EAP-TLS: 伺服器驗證>伺服器名稱 PEAP: 伺服器驗證>伺服器名稱 EAP-TTLS: 伺服器驗證> 伺服器名稱 TEAP: 伺服器驗證> 伺服器名稱 |
可以讓您指定提供網路驗證和授權的遠端身分驗證撥入使用者服務 (RADIUS) 伺服器的名稱。 您必須準確輸入每個 RADIUS 伺服器憑證的主題欄位中顯示的名稱,或使用正規代表式 (regex) 指定伺服器名稱。 正規代表式的完整語法可用於指定伺服器名稱,但為了區分正規代表式和文字字串,必須在指定的字串中 您也可以包含一個 如果未指定 RADIUS 伺服器,則使用者端僅驗證 RADIUS 伺服器憑證是否由受信任的根 CA 核發。 |
| 受信任的根憑證授權單位 | EAP-TLS: 伺服器驗證>TrustedRootCA PEAP: 伺服器驗證>TrustedRootCA EAP-TTLS: 伺服器驗證> 可信根 CA 雜湊值 TEAP: 伺服器驗證> 可信根 CA 雜湊值 |
列出受信任的根憑證授權單位。 此清單是依據電腦和使用者憑證儲存中安裝的受信任根 CA 建構的。 您可以指定請求者使用哪些受信任的根 CA 憑證來決定他們是否信任您的伺服器,例如執行網路原則伺服器 (NPS) 的伺服器或設置伺服器。 如果沒有選擇可信任根CA,802.1X使用者端將驗證RADIUS伺服器的電腦憑證是否由已安裝的可信任根CA所核發。 如果選擇一個或多個可信任根CA,802.1X使用者端將驗證RADIUS伺服器的電腦憑證是否由所選的可信任根CA所頒發。 如果未選擇受信任的根 CA,使用者端將驗證 RADIUS 伺服器憑證是否由任何受信任的根 CA 頒發。 如果您的網路上有公鑰基礎架構 (PKI),並且使用 CA 向 RADIUS 伺服器頒發證書,則您的 CA 證書會自動新增至受信任的根 CA 清單。 您也可以從非 Microsoft 供應商購買 CA 憑證。 某些非 Microsoft 受信任的根 CA 會向軟體提供您購買的證書,該軟體會自動將購買的憑證安裝到 Trusted Root Certification Authorities 憑證儲存中。 在這種情況下,受信任的根 CA 會自動出現在受信任的根 CA 清單中。 不要指定目前使用者和本機的使用者端電腦的 Trusted Root Certification Authorities 憑證儲存中尚未列出的受信任根 CA 憑證。 如果您指定的憑證未安裝在使用者端電腦上,則驗證將會失敗。 在 XML 中,這是憑證的 SHA-1 指紋(雜湊)(或 TEAP 的 SHA-256)。 |
伺服器驗證使用者提示
下表列出了適用於每種 EAP 方法的伺服器驗證使用者提示選項。 在伺服器憑證不受信任的情況下,這些選項將用於:
- 立即使連線失敗,或者
- 允許使用者手動接受或拒絕連線。
| 設定 | XML 元素 |
|---|---|
| 不要暗示使用者授權新伺服器或受信任的證書機構 | 伺服器驗證>停用使用者提示進行伺服器驗證 |
如果伺服器證書設置錯誤、尚未受信任或二者都是(如果已啟用),則防止使用者提示信任伺服器證書。 為了簡化使用者體驗並防止使用者誤信攻擊者部署的伺服器,建議您選擇此選項。
蜂窩身份驗證設置設置
以下分別列出了 EAP-SIM、EPA-AKA 和 EPA-AKA' 的設置設置。
EAP-SIM 在 RFC 4186 中設置。 EAP Subscriber Identity Module (SIM) 用於使用第二代行動網路 Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM) 進行驗證和會話金鑰分發。
UI 中的 EAP-SIM 設置對應到 EapSimConnectionPropertiesV1。
| 項目 | XML 元素 | 描述 |
|---|---|---|
| 使用強密鑰 | 使用強密鑰 | 指定如果選擇,設置檔將使用強加密。 |
| 當假名身份可用時,不要向伺服器透露真實身份 | 不要透露永久 ID | 啟用後,如果伺服器請求永久身份(儘管客戶端具有假名身份),則強制客戶端身份驗證失敗。 假名身分用於身分隱私,以便在身分驗證過程中不會洩漏使用者的實際或永久身分。 |
| ProviderName | 僅在 XML 中可用,該字串指示允許進行身份驗證的提供者名稱。 | |
| 啟用領網域的使用 | Realm=true |
提供輸入領網域名稱的位置。 如果此欄位留空並選擇啟用領網域的使用,則領網域將使用領網域3gpp.org 從國際行動使用者身分(IMSI) 派生,如第三代合作夥伴專案(3GPP) 標準23.003 V6.8.0 中所述。 |
| 指定一個領網域 | Realm | 提供輸入領網域名稱的位置。 如果啟用了啟用領網域的使用,則使用此字串。 如果此欄位為空,則使用衍生領網域。 |
WPA3-企業 192 位元模式
WPA3-Enterprise 192 位元模式是 WPA3-Enterprise 的一種特殊模式,它對無線連線強制執行某些高安全性要求,以提供至少 192 位元的安全性。 這些要求與 Commercial National Security Algorithm (CNSA) 套件 CNSSP 15 一致,該套件是一組經 United States National Security Agency (NSA) 批准用於保護機密和絕密資訊的加密演算法。 192 位元模式有時可稱為 Suite B 模式,這是對 NSA Suite B Cryptography 規範的引用,該規範於 2016 年被 CNSA 取代。
從 Windows 10 版本 2004(內部版本 19041)和 Windows Server 2022 開始,WPA3-Enterprise 和 WPA3-Enterprise 192 位元模式皆可使用。 然而,WPA3-Enterprise 在 Windows 11 中被選為獨立的驗證演算法。 在 XML 中,這是在 authEncryption 元素中指定的。
下表列出了 CNSA Suite 所需的演算法。
| 演算法 | 描述 | 參數 |
|---|---|---|
| 進階加密標準 (AES) | 用於加密的對稱分組密碼 | 256 位元密鑰 (AES-256) |
| Elliptic Curve Diffie-Hellman (ECDH) 金鑰交換 | 用於建立共享秘密(金鑰)的非對稱演算法 | 384 位質數模量曲線 (P-384) |
| Elliptic 曲線數位簽名演算法 (ECDSA) | 用於數位簽章的非對稱演算法 | 384 位質數模量曲線 (P-384) |
| 安全雜湊演算法 (SHA) | 加密雜湊函數 | SHA-384 |
| Diffie-Hellman (DH) 金鑰交換 | 用於建立共享秘密(金鑰)的非對稱演算法 | 3072 位元模數 |
| Rivest-Shamir-Adleman (RSA) | 用於數位簽章或金鑰建立的非對稱演算法 | 3072 位元模數 |
與 CNSA 保持一致,WPA3-Enterprise 192 位元模式要求 EAP-TLS 與下列密碼套件一起使用,但有限制:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384- 使用 384 位元素數模量曲線 P-384 的 ECDHE 和 ECDSA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384/TLS_DHE_RSA_AES_256_GCM_SHA384- 使用 384 位元素數模量曲線 P-384 的 ECDHE
- RSA >= 3072 位元模數
注意
P-384 也稱為 secp384r1或nistp384。 不允許使用其他橢圓曲線,例如 P-521。
SHA-384 屬於 SHA-2 雜湊函數系列。 不允許使用其他演算法和變體,例如 SHA-512 或 SHA3-384。
Windows 僅支援 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384WPA3-Enterprise 192 位元模式的 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384和密碼套件。 不支援TLS_DHE_RSA_AES_256_GCM_SHA384密碼套件。
TLS 1.3 使用新的簡化 TLS 套件,其中僅TLS_AES_256_GCM_SHA384與 WPA3-Enterprise 192 位元模式相容。 由於 TLS 1.3 需要 (EC)DHE 並允許 ECDSA 或 RSA 證書以及 AES-256 AEAD 和 SHA384 雜湊,TLS_AES_256_GCM_SHA384因此相當於TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384和TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384。 然而,RFC 8446 要求符合 TLS 1.3 的應用程式支援 P-256,而 CNSA 禁止這樣做。 因此,WPA3-Enterprise 192 位元模式無法完全相容於 TLS 1.3。 但是,TLS 1.3 和 WPA3-Enterprise 192 位元模式不存在已知的互通性問題。
要設置 WPA3-Enterprise 192 位元模式的網路,Windows 要求將 EAP-TLS 與滿足前述要求的憑證結合使用。