NPS Windows Server 2022 com WPA3‑Enterprise 192‑bit (Suite B/CNSA): EAP‑TLS, modelos de certificado AD CS e correção do “Salvar” no Android

Guia prático e completo para fazer o NPS do Windows Server 2022 autenticar uma WLAN em WPA3‑Enterprise 192‑bit (Suite B/CNSA) usando EAP‑TLS e certificados corretos de servidor e de cliente. Inclui modelos de certificado no AD CS, políticas do NPS, ajustes de cifras e dicas para Android (Galaxy S23).

Índice

Visão geral

Você ativou o modo WPA3 Suite B (também chamado WPA3‑Enterprise 192‑bit) na WLAN: o SSID aparece no Samsung Galaxy S23, mas, ao digitar o ID e o domínio, o botão Salvar fica indisponível. O motivo mais comum é o uso de PEAP no NPS ou certificados que não atendem aos requisitos do perfil de 192‑bit. O modo 192‑bit exige EAP‑TLS e impõe algoritmos estritos para certificados e para a sessão TLS (P‑384/SHA‑384/AES‑256‑GCM, ou RSA ≥ 3072 com SHA‑384 como alternativa de compatibilidade). A seguir, você encontra um passo a passo enxuto, porém detalhado, para colocar tudo em conformidade e resolver o “Salvar” cinza no Android.

Entendendo o modo WPA3‑Enterprise 192‑bit

Somente EAP‑TLS: credenciais baseadas em senha (PEAP/EAP‑TTLS) não são permitidas.
PMF obrigatório (Protected Management Frames, 802.11w).
Criptografia e hashes de alta entropia: chaves e curvas que proporcionem segurança ~192‑bit.
Alvos típicos: redes corporativas e governamentais que seguem CNSA/Suite B.

Componente	Requisito recomendado	Alternativa compatível	Observações
Autenticação 802.1X	EAP‑TLS	—	PEAP/EAP‑TTLS não atendem o modo 192‑bit.
Certificado do servidor (NPS)	ECDSA P‑384, assinatura SHA‑384, EKU Server Authentication	RSA ≥ 3072, assinatura SHA‑384	Usar CNG/KSP. O nome DNS no SAN deve corresponder ao FQDN informado no Android.
Certificado do cliente (usuário/dispositivo)	ECDSA P‑384, SHA‑384, EKU Client Authentication	RSA ≥ 3072, SHA‑384	Para mapeamento automático no AD, inclua UPN (usuário) ou DNS (computador) no SAN.
Cifras TLS no handshake EAP‑TLS	TLSECDHEECDSAWITHAES256GCM_SHA384	TLSECDHERSAWITHAES256GCM_SHA384	Priorize ECDHE_ECDSA; mantenha a opção RSA para compatibilidade gradual.
WLAN/SSID	WPA3‑Enterprise 192‑bit (CNSA)	—	Não confundir com “WPA3‑Enterprise” padrão; o perfil 192‑bit é separado.

Por que o Galaxy S23 não permite salvar o perfil

No Android moderno (incluindo Galaxy S23/One UI), o botão Salvar permanece cinza em WPA3‑Enterprise 192‑bit quando:

o método EAP selecionado não é TLS;
não há um certificado de cliente instalado para EAP‑TLS;
a CA raiz que emitiu o certificado do NPS não está instalada/selecionada como confiável;
o campo Domínio não corresponde ao FQDN do servidor presente no certificado do NPS.

Em outras palavras: o Android só habilita Salvar quando todas as exigências do EAP‑TLS/192‑bit estão preenchidas.

Checklist rápido

Confirme que o SSID está realmente em WPA3‑Enterprise 192‑bit (CNSA), com PMF obrigatório.
No NPS, deixe apenas Microsoft: Smart Card or other certificate (EAP‑TLS). Remova PEAP.
Emita para o NPS um certificado ECDSA P‑384 + SHA‑384 (ou RSA ≥ 3072 + SHA‑384) com EKU de Servidor.
Distribua para usuários/dispositivos certificados de cliente com ECDSA P‑384 + SHA‑384 (ou RSA ≥ 3072 + SHA‑384).
No Android, instale a CA raiz, selecione o certificado de usuário e preencha o Domínio igual ao FQDN do NPS.
Valide que a sessão EAP‑TLS negocia AES‑256‑GCM com SHA‑384 e chave ECDHE P‑384 (ou RSA 3072).

Configuração do NPS no Windows Server 2022

Pré‑requisitos

Windows Server 2022 com a função Network Policy and Access Services (NPS) instalada.
Servidor membro do domínio e registrado no Active Directory via NPS.
AD CS instalado e operacional (CA corporativa).
Controlador/AP preparado para WPA3‑Enterprise 192‑bit.

Registrar o NPS no AD

Abra o NPS.msc > clique com o botão direito em NPS (Local) > Register server in Active Directory.
Confirme a adição do NPS ao grupo RAS and IAS Servers.

Adicionar RADIUS Clients (APs/Controlador)

Em RADIUS Clients and Servers > RADIUS Clients, adicione cada AP/controlador.
Defina Address (IP ou FQDN), Shared Secret forte e um nome amigável.
Se usar um controlador central, cadastre apenas o IP do controlador.

Criar a Network Policy apenas com EAP‑TLS

Vá em Policies > Network Policies > New.
Dê um nome, escolha Type of network access server = Unspecified (ou Wireless).
Conditions: adicione NAS Port Type = Wireless – IEEE 802.11. Se desejar, restrinja por grupo (ex.: Domain Users e/ou Domain Computers).
Constraints > Authentication Methods: desmarque PEAP e deixe somente Microsoft: Smart Card or other certificate. Clique em Configure e selecione o certificado de servidor do NPS que atenda P‑384/SHA‑384 (ou RSA ≥ 3072/SHA‑384).
Settings: mantenha Allow clients to connect. Opcional: habilite Fast Reconnect se compatível com sua infraestrutura.
Garanta que esta política esteja acima de quaisquer políticas legadas (ordem de avaliação).

Ajustes de mapeamento de identidade no EAP‑TLS

Para usuários: o certificado deve trazer UPN no Subject Alternative Name. O NPS mapeará automaticamente o UPN ao objeto do AD.
Para dispositivos: inclua o FQDN do computador no SAN (ou o dNSHostName) para mapeamento como machine auth.

Modelos de certificado no AD CS

Modelo de certificado para o NPS (servidor RADIUS)

No certsrv.msc > Certificate Templates, clique com o botão direito em RAS and IAS Server > Duplicate Template.
Em General: defina um nome (ex.: NPS ECDSA P‑384 SHA‑384) e validade apropriada.
Em Compatibility: mantenha Windows Server 2016/2019/2022.
Em Cryptography:
- Provider Category: Key Storage Provider (CNG).
- Algorithm: ECDSA_P384.
- Hash: SHA‑384.
- Permita exportação da chave somente se houver justificativa operacional.
Em Subject Name: Build from this Active Directory information, com DNS no SAN. O CN pode ser o hostname; o que precisa obrigatoriamente é um DNS SAN correspondente ao FQDN que os clientes validarão.
Em Extensions: mantenha o EKU Server Authentication.
Em Security: conceda Enroll/Autoenroll ao grupo RAS and IAS Servers e à(s) conta(s) do NPS.
Publique o novo template em Certificate Templates > New > Certificate Template to Issue.

Modelo de certificado para clientes EAP‑TLS

Duplique o template User (para autenticação por usuário) ou Computer (por dispositivo).
Em Cryptography:
- Provider: Key Storage Provider (CNG).
- Algorithm: ECDSA_P384.
- Hash: SHA‑384.
- (Alternativa) RSA ≥ 3072 com SHA‑384 quando ECDSA não for viável em todos os clientes.
Em Subject Name:
- User: Build from AD com UPN no SAN.
- Computer: Build from AD com DNS no SAN.
Em Extensions: mantenha Client Authentication.
Em Security: dê Enroll/Autoenroll a Domain Users e/ou Domain Computers (ou a grupos específicos).
Publique o template.

Autoinscrição por GPO

Abra gpmc.msc e edite uma GPO aplicada a usuários e/ou computadores.
Computer Configuration e/ou User Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Certificate Services Client – Auto‑Enrollment: Enable, marque Renew expired certificates e Update certificates that use certificate templates.
Em Public Key Policies > Trusted Root Certification Authorities, distribua a CA raiz para computadores/usuários do domínio.

Emitir e instalar o certificado no NPS

No NPS, abra certlm.msc > Personal > Certificates.
Solicite um novo certificado a partir do template criado (Computer context). Verifique se:
- o SAN DNS contém o FQDN que você usará no campo Domínio no Android;
- o algoritmo é ECDSA P‑384 com SHA‑384 (ou RSA ≥ 3072 com SHA‑384);
- há a cadeia completa até a CA raiz em Certification Path.
Reabra o NPS e, na Network Policy, em EAP Types > Configure, selecione explicitamente este certificado.

Conformidade de cifras TLS no Windows

Para garantir a negociação adequada das cifras no EAP‑TLS:

Abra a GPO de servidores NPS: Computer Configuration > Administrative Templates > Network > SSL Configuration Settings.
Edite SSL Cipher Suite Order e inclua, no topo da lista, ao menos:
- TLSECDHEECDSAWITHAES256GCM_SHA384
- TLSECDHERSAWITHAES256GCM_SHA384
Evite cifras antigas ou com SHA‑256 quando o objetivo é o perfil 192‑bit/CNSA.
Atualize os servidores, aplique a GPO e reinicie o serviço NPS se necessário.

Configuração do controlador/AP

Selecione o modo WPA3‑Enterprise 192‑bit (CNSA) — alguns fabricantes apresentam como “Suite B 192‑bit”.
Ative PMF = Required.
Defina 802.1X/EAP apontando ao NPS (RADIUS) com segredo compartilhado.
Se o fabricante expuser EAP‑SHA384 ou FT‑EAP‑SHA384, habilite conforme a documentação do equipamento.
Desative modos de transição (WPA2/WPA3 mixed) para esse SSID específico, evitando downgrade de segurança.

Configuração no Android (ex.: Galaxy S23)

Instale a CA raiz que assinou o certificado do NPS no dispositivo (perfil MDM/Knox/Intune ou manualmente). Ao instalar manualmente, defina o uso como Wi‑Fi.
Instale o certificado de cliente (com chave privada) emitido pelo seu AD CS para o usuário ou dispositivo.
Abra Configurações > Wi‑Fi > selecione o SSID 192‑bit:
- Método EAP: TLS.
- Identidade: deixe em branco (TLS usa o certificado).
- CA: selecione a sua CA raiz corporativa.
- Domínio: informe o FQDN que consta no SAN DNS do certificado do NPS (ex.: radius.corp.exemplo.com).
- Certificado do usuário: selecione o certificado instalado.
- Identidade anônima: em EAP‑TLS não é necessário.
Confirme que o botão Salvar fica habilitado. Se continuar cinza, revise: CA, Domínio e presença do certificado de usuário.

Diagnóstico e testes

Logs do NPS

Event Viewer > Custom Views > Server Roles > Network Policy and Access Services: verifique motivos de Access‑Reject ou falhas de EAP‑TLS.
Habilite tracing: abra um prompt elevado e execute: netsh ras set tracing * enabled Os registros são gravados em %windir%\tracing. Para desabilitar: netsh ras set tracing * disabled
Ative logs do Schannel (TLS) para investigar erros de certificado e negociação de cifras.

Captura no controlador/AP

Faça packet capture no ponto de acesso ou no concentrador RADIUS para observar o fluxo EAPOL/EAP‑TLS.
Confirme que o servidor apresenta um certificado com P‑384/SHA‑384 (ou RSA ≥ 3072/SHA‑384) e que a cifra resultante é AES‑256‑GCM.

Verificações rápidas

Item	Como verificar	Esperado	Se diferente…
Cert do NPS	certlm.msc > Personal > Certificates	ECDSA P‑384 + SHA‑384, SAN DNS correto	Reemita pelo template novo; ajuste SAN/algoritmo
Método no NPS	Network Policy > Constraints > Authentication	Apenas Smart Card or other certificate	Remova PEAP/EAPs legados
CA no Android	Tela do SSID	CA corporativa selecionada	Instale a CA raiz e selecione-a
Domínio no Android	Tela do SSID	FQDN do NPS (igual ao SAN DNS)	Preencha corretamente; corresponde ao certificado
Cert de usuário	Tela do SSID	Cert do cliente disponível	Instale o certificado com chave privada

Exemplos de modelo de certificado

Template do servidor NPS — exemplo consolidado

Campo	Valor recomendado
Template display name	NPS ECDSA P‑384 SHA‑384
Provider	Key Storage Provider (CNG)
Algoritmo	ECDSA_P384
Hash	SHA‑384
Subject	Build from AD; SAN DNS = radius.corp.exemplo.com
EKU	Server Authentication
Security	Enroll/Autoenroll para RAS and IAS Servers/NPS

Template do cliente (usuário) — exemplo consolidado

Campo	Valor recomendado
Template display name	802.1X EAP‑TLS 192‑bit (User)
Provider	Key Storage Provider (CNG)
Algoritmo	ECDSA_P384 (ou RSA‑3072)
Hash	SHA‑384
Subject	Build from AD; SAN UPN = usuario@dominio
EKU	Client Authentication
Security	Enroll/Autoenroll para Domain Users

Dicas de compatibilidade e migração

Priorize ECDSA P‑384: além de cumprir CNSA, reduz o custo computacional e o tamanho do handshake frente a RSA 3072.
Convivência com legados: mantenha um SSID separado para clientes WPA2/WPA3‑Enterprise “comum” em PEAP/EAP‑TLS, isolando o SSID 192‑bit para dispositivos já compatíveis.
Windows e macOS: verifique suporte a ECDSA em EAP‑TLS e a presença da CA raiz no armazenamento do SO.
Atualizações: garanta atualizações de firmware dos APs/controladores para os perfis 192‑bit com PMF obrigatório.

Erros comuns e correções rápidas

Salvar cinza no Android: falta CA raiz, domínio vazio/errado, ou não há certificado de usuário — ajuste esses três pontos.
Erro de “nome do servidor não corresponde”: o FQDN configurado no Android deve existir no SAN DNS do certificado do NPS.
Falha de TLS/handshake: cadeia incompleta, algoritmo/curva divergente (ex.: P‑256/SHA‑256), ou cifras incompatíveis no servidor.
Access‑Reject por não conformidade: a Network Policy ainda aceita PEAP; remova‑o e mantenha apenas EAP‑TLS.
Autoenrollment não entrega certificados: verifique permissões do template (Enroll/Autoenroll) e a aplicação da GPO.

Procedimento resumido para seu caso

Troque o SSID para o modo WPA3‑Enterprise 192‑bit com PMF obrigatório.
No NPS, ajuste a policy para EAP‑TLS exclusivo e selecione o certificado correto do servidor.
No AD CS, emita:
- para o NPS: ECDSA P‑384 + SHA‑384 (SAN DNS = FQDN do RADIUS);
- para usuários/dispositivos: ECDSA P‑384 + SHA‑384 com EKU Client Auth e UPN/DNS no SAN.
Garanta no Windows que TLSECDHEECDSAWITHAES256GCMSHA384 e TLSECDHERSAWITHAES256GCMSHA384 estão habilitadas e priorizadas.
No Galaxy S23, configure o SSID com EAP = TLS, CA corporativa, Domínio = FQDN do NPS e selecione o certificado do usuário. O botão Salvar ficará ativo.

Conclusão

O perfil WPA3‑Enterprise 192‑bit eleva o nível de segurança e, por isso, é rigoroso: EAP‑TLS obrigatório, PMF obrigatório e certificados com algoritmos robustos (P‑384/SHA‑384 preferencialmente). Ajustar o NPS para somente EAP‑TLS, emitir os modelos de certificado corretos no AD CS e preencher os campos certos no Android (CA e domínio) resolve o sintoma do “Salvar” cinza e garante uma associação estável e conforme o CNSA/Suite B.

Apêndice: comandos e chaves úteis

# Habilitar tracing do NPS (elevar cmd)
netsh ras set tracing * enabled

Desabilitar tracing

netsh ras set tracing \* disabled

Caminho de logs

%windir%\tracing\\

Habilitar ordem de cifras por GPO

Computer Configuration > Administrative Templates > Network > SSL Configuration Settings > SSL Cipher Suite Order

Apêndice: sinais de conformidade no handshake

Certificado do servidor com ECDSA P‑384 e assinatura SHA‑384 (ou RSA ≥ 3072 / SHA‑384).
TLS negoceia AES‑256‑GCM com SHA‑384, preferencialmente ECDHE_ECDSA.
Sem uso de PEAP/EAP‑TTLS em lugar algum do fluxo.

Seguindo este roteiro, você terá o NPS no Windows Server 2022 plenamente compatível com WPA3‑Enterprise 192‑bit, com emissão de certificados alinhada a P‑384/SHA‑384 e experiência de conexão consistente nos dispositivos Android como o Galaxy S23.