本文介绍有关配置可扩展身份验证协议(EAP)设置的常用方法的信息。 具体而言,它介绍如何使用 XML 和命令行工具配置 EAP 配置文件。 它还演示如何在 Windows 中使用各种 UI 配置 EAP 设置和配置文件。
XML 配置文件
如 EAP 的 XML 配置文件中所述,Wi-Fi、以太网和 VPN 的连接配置文件是包含连接的配置选项的 XML 文件。 可以导入/导出和手动编辑这些配置文件。 在 UI 中创建或编辑配置文件时(如以下部分所述),Windows 在内部设置相应的 XML 配置选项。 因此,可以使用 UI 创建配置文件,然后将其导出以查看已设置的 XML 配置选项。
Note
并非每个配置选项都会在 UI 中公开。 根据方案,可能需要手动编辑 XML 配置文件以设置所需的配置选项。 然后导入更新的配置文件进行部署。
例如,使用移动设备管理(MDM)策略(例如 Wi-Fi CSP)时,需要预配完整的 XML 配置文件。
此示例 中提供了 Wi-Fi 配置文件的示例。
使用命令行工具导入和导出配置文件
使用命令行工具导入和导出配置文件在许多方案中非常有用。 例如,当无法配置 MDM 或组策略时,手动或编写这些命令的脚本可能是最快的选项。 它还可用于通过其他 UI 配置配置文件后导出配置文件。
netsh
netsh 是一种命令行工具,可用于查看和配置各种与网络相关的设置。 有关详细信息,请参阅 Network shell (netsh)。 可以从 netsh 和 cmd 调用 powershell。 下表列出了导入和导出配置文件的一些常见 netsh 命令和示例。 可以使用 /? 任何 netsh 命令来获取有关命令的详细信息,包括语法。
| Command | Description |
|---|---|
netsh wlan show profiles |
显示所有 Wi-Fi 配置文件,包括配置文件名称。 |
netsh wlan show profiles name="ProfileName" |
显示有关特定 Wi-Fi 配置文件的详细信息。 |
netsh wlan export profile name="ProfileName" folder="C:\Profiles" |
将 Wi-Fi 配置文件导出到指定的文件夹。 该文件夹必须存在。 |
netsh wlan add profile filename="C:\Profiles\ProfileName.xml" |
从指定的文件添加 Wi-Fi 配置文件。 |
netsh wlan delete profile name="ProfileName" |
删除 WLAN 配置文件。 |
PowerShell
PowerShell 是一种命令行 shell 和脚本语言,可用于查看和配置各种设置。 它包括可用于导入和导出连接配置文件的各种命令 (cmdlet)。 可以将 Get-Help cmdlet 与任何 cmdlet 配合使用,以获取有关该 cmdlet 的详细信息,包括语法。
有关这些 cmdlet 的详细信息,请参阅 Get-VpnConnection、 Set-VpnConnection 和 Add-VpnConnection。
| Command | Description |
|---|---|
Get-VpnConnection |
显示所有 VPN 配置文件,包括配置文件名称和其他详细信息。 |
Get-VpnConnection -Name "ProfileName" |
显示有关特定 VPN 配置文件的摘要信息。 |
(Get-VpnConnection -Name "ProfileName").EapConfigXmlStream.InnerXml \| Out-File -FilePath "C:\Profiles\vpn_eap.xml" |
将特定 VPN 配置文件的 EAP 配置导出到文件。 |
Set-VpnConnection -Name "ProfileName" -EapConfigXmlStream (Get-Content -Path "C:\Profiles\vpn_eap.xml") |
从文件导入 EAP 配置,并使用它更新指定的 VPN 配置文件。 |
设置应用(桌面 Windows)
在 Windows 桌面客户端上,可以通过“设置”应用配置许多常见的 Wi-Fi、以太网和 VPN 设置。 以下屏幕截图显示了 Windows 11“设置”应用,但 UI 与 Windows 10 中类似。 但是,某些功能和选项可能仅在 Windows 11 中可用。
Windows 10 和 Windows 11 支持在“设置”应用中添加具有特定配置(包括 802.1X)的 Wi-Fi 配置文件。 可以在“网络和 Internet>Wi-Fi>管理已知网络添加网络>”下的“设置”应用中找到此设置:
通过此对话框可以为 Wi-Fi 配置文件配置 SSID、安全类型和其他设置。 选择支持 EAP 的安全类型(如 WPA3-Enterprise AES)时,对话框会显示配置 EAP 设置的选项: 
Tip
添加网络后,无法使用“设置”应用编辑 EAP 设置。 若要编辑 EAP 设置,请执行以下作之一:
- 删除配置文件,并使用正确的设置再次添加配置文件。
-
netsh使用 netsh 中所述的命令手动编辑配置文件。
组策略编辑器(桌面和服务器)
组策略 是一种基础结构,可用于管理用户和计算机的配置。 通过使用 组策略,可以根据定义的规则配置 Wi-Fi、以太网和 VPN 设置。 以下屏幕截图显示了 Windows Server 2022 组策略管理编辑器,但 UI 与桌面 Windows 控制面板和本地组策略编辑器类似。 有关以下屏幕截图中显示的选项的详细信息,请参阅 用于网络访问的 EAP。
Wi-Fi 的组策略选项位于计算机配置>策略>Windows 设置>安全设置>无线网络(IEEE 802.11)策略下:
右键单击 无线网络(IEEE 802.11)策略 ,然后选择 “为 Windows Vista 和更高版本创建新的无线网络策略 ”将打开 “新建无线网络策略属性 ”对话框: 
通过此对话框,可以设置策略名称、说明和 添加/编辑/删除 配置文件,以及 导入 和 导出XML 配置文件。
选择 “添加 ”,然后选择 “基础结构 ”将打开 “新建配置文件属性 ”对话框: 
使用此对话框可以设置 配置文件名称 ,并添加配置文件适用的 SSID。
选择 “安全性 ”可以配置配置文件的 EAP 设置:显示“ 
通过此对话框可以为 Wi-Fi 配置文件配置安全类型和其他设置。 选择支持 802.1X 身份验证的 身份验证 类型(例如 WPA2-Enterprise), 802.1X 安全选项 可见。 有关每个网络身份验证方法的详细信息,请参阅 EAP 方法 。
选择“ 高级...” 按钮后,将显示“ 高级安全设置” 对话框: 
通过此对话框可以设置一些高级 802.1X 设置和单一登录选项。
Tip
并非每个设置都可用于组策略编辑器中的配置。 但是,可以通过导入具有所需设置的 XML 配置文件来解决此问题。 有关详细信息,请参阅 XML 配置文件。
EAP 方法
有关不同 EAP 方法的概述,请参阅 身份验证方法。
Microsoft:智能卡或其他证书
有关此对话框的详细信息,请参阅 EAP-TLS。
选择 “高级 ”将打开 “配置证书选择 ”对话框: 
Microsoft: 受保护的 EAP (PEAP)
有关此对话框的详细信息,请参阅 PEAP。
选择 “配置...” 时 ,选中“安全密码”(EAP-MSCHAP v2) 将打开 EAP MSCHAPv2 对话框: 
Microsoft:EAP-SIM
有关此对话框的详细信息,请参阅 EAP-SIM。
Microsoft:EAP-TTLS
有关此对话框的详细信息,请参阅 EAP-TTLS。
Microsoft:EAP-AKA
有关此对话框的详细信息,请参阅 EAP-AKA。
Microsoft:EAP-AKA'
有关此对话框的详细信息,请参阅 EAP-AKA'。
Microsoft:EAP-TEAP
有关此对话框的详细信息,请参阅 TEAP。
