Wi‑Fi 802.1X (PEAP/EAP‑TLS) не подключается в Windows 10/11 — как настроить и починить (2025)

Корпоративная сеть видна, но не подключается или просит логин бесконечно? Разбираем сертификаты, доверие к корневому УЦ, настройки PEAP/EAP‑TLS, создание профиля XML и типичные ошибки 802.1X.

Коротко: на что обратить внимание

  • Должен быть установлен корневой сертификат УЦ, которым подписан сертификат сервера RADIUS.
  • Для EAP‑TLS нужен персональный клиентский сертификат с приватным ключом в «Личном» хранилище.
  • Для PEAP‑MSCHAPv2 — верный логин/пароль домена и доверие к УЦ.
Нужна помощь? Установлю корневые/клиентские сертификаты, соберу правильный XML‑профиль и добьюсь стабильного подключения 802.1X.

1) Ставим корневой сертификат

CMD (Администратор) — выполнять по одной строке:

certutil -addstore -f root C:\certs\corp-root.cer
certutil -store root | findstr /i "corp"

Если используете EAP‑TLS — установите также клиентский сертификат в «Личное» хранилище пользователя.

2) Создаём XML‑профиль Wi‑Fi

Сохраните файл corp8021x.xml со значениями Вашей сети. Ниже две типовые конфигурации.

Профиль PEAP‑MSCHAPv2 — файл XML (вставить целиком):

<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
  <name>CorpWiFi</name>
  <SSIDConfig><SSID><name>CorpWiFi</name></SSID></SSIDConfig>
  <connectionType>ESS</connectionType>
  <connectionMode>auto</connectionMode>
  <MSM>
    <security>
      <authEncryption><authentication>WPA2</authentication><encryption>AES</encryption><useOneX>true</useOneX></authEncryption>
      <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
        <EAPConfig>
          <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
            <EapMethod><Type>25</Type><AuthorId>0</AuthorId></EapMethod>
            <Config>
              <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
                <Type>25</Type>
                <EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1">
                  <ServerValidation><DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation></ServerValidation>
                  <Eap>
                    <Type>26</Type>
                    <EapType xmlns="http://www.microsoft.com/provisioning/MsChapV2ConnectionPropertiesV1">
                      <UseWinLogonCredentials>false</UseWinLogonCredentials>
                    </EapType>
                  </Eap>
                </EapType>
              </Eap>
            </Config>
          </EapHostConfig>
        </EAPConfig>
      </OneX>
    </security>
  </MSM>
</WLANProfile>

Профиль EAP‑TLS — файл XML (вставить целиком):

<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
  <name>CorpWiFi</name>
  <SSIDConfig><SSID><name>CorpWiFi</name></SSID></SSIDConfig>
  <connectionType>ESS</connectionType>
  <connectionMode>auto</connectionMode>
  <MSM>
    <security>
      <authEncryption><authentication>WPA2</authentication><encryption>AES</encryption><useOneX>true</useOneX></authEncryption>
      <OneX xmlns="http://www.microsoft.com/networking/OneX/v1">
        <EAPConfig>
          <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
            <EapMethod><Type>13</Type><AuthorId>0</AuthorId></EapMethod>
          </EapHostConfig>
        </EAPConfig>
      </OneX>
    </security>
  </MSM>
</WLANProfile>

3) Импортируем профиль и подключаемся

CMD (Администратор) — выполнять по одной строке:

netsh wlan add profile filename="C:\certs\corp8021x.xml" user=all
netsh wlan show profiles
netsh wlan connect name="CorpWiFi"

Для PEAP система спросит логин/пароль. Для EAP‑TLS будет использован подходящий клиентский сертификат.

4) Типовые ошибки 802.1X

  • Ошибка проверки подлинности — нет доверия к корневому УЦ. Проверьте корневой сертификат в «Доверенные корневые центры сертификации».
  • Цепочка сертификата неполная — установите промежуточные УЦ.
  • Неверный шаблон клиента (EAP‑TLS) — в сертификате должен быть «Аутентификация клиента» и приватный ключ экспортируемый/неэкспортируемый, как требует политика.

5) Диагностика журналов

PowerShell (Администратор) — выполнять по одной:

Get-WinEvent -LogName Microsoft-Windows-WLAN-AutoConfig/Operational -Max 200 | Select TimeCreated, Id, Message
netsh wlan show wlanreport
start "" "%ProgramData%\Microsoft\Windows\WlanReport\wlan-report-latest.html"

FAQ

Можно ли использовать учётку без домена?

Для PEAP‑MSCHAPv2 обычно требуется доменная или локальная учётка, разрешённая на RADIUS. Для EAP‑TLS нужен именно клиентский сертификат.

Как выбрать конкретный сертификат для EAP‑TLS?

Через «Центр управления сетями и общим доступом → Изменение параметров адаптера → Свойства сети → Настройка 802.1X → Параметры EAP».

Читайте также: