Ao conectar-se a uma rede Wi-Fi corporativa ou cabeada usando autenticação 802.1X com EAP-TLS, o Windows 11 normalmente armazena suas credenciais de certificado para que você não precise se autenticar novamente a cada login. Se você vir uma solicitação de certificado ou falha de conexão toda vez que fizer logon, o processo de autenticação não está armazenando em cache as credenciais corretamente. Esse problema geralmente ocorre porque o certificado não está armazenado no repositório de credenciais correto do Windows, o perfil de rede está configurado incorretamente ou as políticas de Grupo estão bloqueando o cache de credenciais. Este artigo explica por que a solicitação repetida do certificado acontece e fornece correções passo a passo para resolvê-la permanentemente.
Principais Conclusões: Corrigindo Solicitações Repetidas de Certificado 802.1X EAP-TLS no Windows 11
- Certlm.msc (repositório de certificados do computador local): Armazene o certificado do cliente no repositório da conta do computador para que ele esteja disponível antes do login do usuário.
- Política de Grupo > Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas de Rede Sem Fio (IEEE 802.11): Configure as configurações de EAP-TLS para usar autenticação baseada em máquina e desative o cache de credenciais do usuário.
- Netsh wlan set profileparameter: Force o perfil de rede a usar logon único com autenticação pré-login para evitar a solicitação de credenciais no logon do usuário.
Por que o Windows 11 Solicita Novamente o Certificado 802.1X EAP-TLS a Cada Login
O Windows 11 usa o Protocolo de Autenticação Extensível (EAP) com Segurança da Camada de Transporte (TLS) para autenticar dispositivos em redes 802.1X. Durante a autenticação, o cliente apresenta um certificado digital ao servidor de acesso à rede (RADIUS). O Windows armazena em cache a sessão autenticada para que conexões subsequentes não exijam uma nova solicitação de certificado. Quando o cache está ausente ou inválido, o Windows solicita novamente o certificado a cada login.
A causa raiz é quase sempre uma das seguintes:
- O certificado do cliente está instalado no repositório do Usuário Atual em vez do repositório da Máquina Local. O Windows não pode acessar o repositório do Usuário Atual antes que o usuário faça logon, então ele solicita credenciais durante o processo de logon.
- O perfil de rede sem fio está configurado para usar autenticação baseada em usuário em vez de autenticação baseada em máquina. A autenticação baseada em usuário exige que o usuário esteja logado, o que aciona a solicitação a cada login.
- A Política de Grupo ou política local força a reautenticação em cada conexão. Políticas como “Habilitar logon único para esta rede” com o modo errado podem causar solicitações repetidas.
- O certificado expirou, foi revogado ou não corresponde ao nome do servidor na configuração EAP-TLS.
Entender essas causas ajuda a direcionar a correção correta. Na maioria dos ambientes corporativos, a correção envolve mover o certificado para o repositório da máquina e ajustar as configurações do perfil de rede.
Passos para Parar a Solicitação Repetida do Certificado 802.1X EAP-TLS no Windows 11
Siga estes passos em ordem. Cada passo aborda uma causa específica da solicitação repetida.
Passo 1: Mover o Certificado do Cliente para o Repositório da Máquina Local
- Abra o Console de Gerenciamento Microsoft (MMC) para Certificados
Pressione Win + R, digite certlm.msc e pressione Enter. Isso abre o repositório de certificados da Máquina Local. - Importe ou mova o certificado do cliente
Se o certificado já estiver no repositório do Usuário Atual (certmgr.msc), exporte-o como um arquivo PFX com a chave privada. No certlm.msc, clique com o botão direito em Pessoal, selecione Todas as Tarefas > Importar e siga o assistente. Certifique-se de marcar Marcar esta chave como exportável se precisar exportá-la posteriormente. - Verifique se o certificado está no repositório correto
Expanda Pessoal > Certificados no certlm.msc. Confirme se o certificado do cliente aparece com um ícone de chave privada (um ícone de chave sobreposto ao ícone do certificado).
Passo 2: Configurar o Perfil de Rede para Autenticação Baseada em Máquina
- Abra a Central de Rede e Compartilhamento
Vá para Configurações > Rede e internet > Configurações de rede avançadas > Mais opções de adaptador de rede. - Abra as propriedades do adaptador de rede sem fio ou Ethernet
Clique com o botão direito no adaptador de rede ativo e selecione Propriedades. - Edite as configurações 802.1X
Vá para a guia Autenticação. Em Selecionar método de autenticação, escolha Microsoft: Smart Card ou outro certificado (EAP-TLS) e clique em Configurações. - Habilite a autenticação de máquina
Na janela Propriedades do Smart Card ou outro Certificado, marque Usar um certificado neste computador. Em Seleção simples de certificado (Recomendado), selecione o certificado do cliente que você moveu para o repositório da Máquina Local. Clique em OK. - Habilite o logon único com autenticação pré-login
De volta à guia Autenticação, clique em Configurações Adicionais. Em Especificar modo de autenticação, selecione Autenticação de usuário ou computador. Marque Habilitar logon único para esta rede. Em Executar imediatamente antes do logon do usuário, selecione Autenticação do computador. Clique em OK.
Passo 3: Limpar e Atualizar o Perfil de Rede via Linha de Comando
- Abra o Prompt de Comando como Administrador
Pressione Win + X, selecione Terminal (Admin) ou Prompt de Comando (Admin). - Liste todos os perfis sem fio
Digite netsh wlan show profiles e pressione Enter. Anote o nome do perfil da sua rede corporativa. - Configure o perfil para usar autenticação pré-login
Digite netsh wlan set profileparameter name=”SeuNomeDePerfil” authMode=computer e pressione Enter. Substitua SeuNomeDePerfil pelo nome real do perfil. - Force o perfil a usar EAP-TLS com o certificado da máquina
Digite netsh wlan set profileparameter name=”SeuNomeDePerfil” eapMethod=Microsoft: Smart Card or other certificate e pressione Enter.
Passo 4: Verificar as Configurações da Política de Grupo (Apenas Ambientes Corporativos)
- Abra o Editor de Política de Grupo Local
Pressione Win + R, digite gpedit.msc e pressione Enter. - Navegue até as configurações de Política Sem Fio
Vá para Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas de Rede Sem Fio (IEEE 802.11). - Edite a política existente ou crie uma nova
Clique duas vezes na política que se aplica à sua rede. Vá para a guia Segurança. Em Configurações EAP, clique em Propriedades. Certifique-se de que Usar certificados de máquina esteja selecionado e a impressão digital correta do certificado esteja especificada. - Habilite o logon único na política
Na guia Logon Único, marque Habilitar logon único para esta rede. Em Executar imediatamente antes do logon do usuário, selecione Somente computador. Clique em OK.
Problemas Comuns Após Corrigir a Solicitação do Certificado 802.1X EAP-TLS
Certificado Não Encontrado no Repositório da Máquina Local Após a Importação
Se você importar o arquivo PFX no certlm.msc e o certificado não aparecer, a chave privada pode estar ausente ou o arquivo pode estar corrompido. Reexporte o certificado da origem com a chave privada incluída. Certifique-se de marcar Exportar todas as propriedades estendidas e Habilitar privacidade do certificado durante a exportação.
Windows 11 Ainda Solicita Credenciais Após Alterações no Perfil
Se a solicitação persistir, o perfil de rede pode estar em cache com configurações antigas. Exclua o perfil e reconecte-se. Abra o Prompt de Comando como Administrador e digite netsh wlan delete profile name=”SeuNomeDePerfil”. Em seguida, reconecte-se à rede e reinsira as configurações EAP-TLS.
Autenticação EAP-TLS Falha Após Mover o Certificado
O servidor RADIUS pode exigir que o certificado esteja vinculado a uma conta de usuário específica. Se o servidor esperar um certificado de usuário, mas receber um certificado de máquina, a autenticação falha. Isso é um problema de configuração do lado do servidor. Entre em contato com o administrador da rede para atualizar a política do RADIUS para aceitar certificados de máquina.
Autenticação de Máquina vs Usuário no 802.1X EAP-TLS: Diferenças de Comportamento
| Item | Autenticação de Máquina | Autenticação de Usuário |
|---|---|---|
| Repositório de certificados | Repositório da Máquina Local (certlm.msc) | Repositório do Usuário Atual (certmgr.msc) |
| Disponível antes do logon do usuário | Sim | Não |
| Momento da autenticação | Pré-login ou imediatamente após a conexão de rede | Após o logon do usuário |
| Frequência da solicitação de certificado | Uma vez por inicialização da máquina ou alteração de rede | A cada login do usuário |
| Configuração do servidor RADIUS | Espera conta de computador no Active Directory | Espera conta de usuário no Active Directory |
| Caso de uso corporativo típico | Dispositivos ingressados no domínio com estações de trabalho compartilhadas | Dispositivos do usuário ou cenários de acesso remoto |
Após aplicar as correções neste artigo, o Windows 11 armazenará em cache a sessão 802.1X EAP-TLS usando o certificado da máquina e não solicitará credenciais a cada login. Teste a configuração reiniciando o dispositivo e verificando se a rede conecta automaticamente sem intervenção. Para ambientes avançados, considere implantar o certificado via Política de Grupo no certlm.msc usando o snap-in Certificados em um GPO, o que garante que todas as máquinas ingressadas no domínio recebam o certificado no repositório correto automaticamente.