Résoudre la connexion WPA3 Suite B 192 bits sur Android — Guide complet NPS et certificats

Pour qu’un réseau Wi‑Fi WPA3 Suite B 192 bits fonctionne vraiment avec un Samsung Galaxy S23, il faut aligner trois piliers : certificats conformes, configuration RADIUS/NPS stricte en EAP‑TLS et points d’accès réellement capables d’AES‑256‑GCMP‑SHA384. Ce guide pas‑à‑pas détaille le processus complet, de l’AC interne jusqu’aux paramètres Android, avec conseils de dépannage approfondis.

Problème posé

Un point d’accès diffuse un SSID protégé en WPA3 Enterprise — Suite B 192 bits. Depuis un Samsung Galaxy S23 :

• le SSID apparaît immédiatement ;
• après saisie de l’identifiant (ou sélection du certificat) et du domaine, le bouton « Enregistrer / Save » reste grisé ;
• aucune authentification ne part vers le serveur RADIUS ;
• ce même téléphone se connecte pourtant sans effort à des réseaux WPA3 Transition ou WPA3 Enterprise 128 bits.

Le symptôme est donc 100 % reproductible et semble lié à la combinaison Suite B + certificats.

Analyse des causes probables

Piste	Explication succincte
Modèle de certificat inadapté	Suite B exige ECDSA‑P384 ou RSA‑3072, SHA‑384 et AES‑256‑GCMP. Un modèle « Ordinateur » dupliqué sans ajustement reste en RSA‑2048 / SHA‑256 ; Android refuse alors d’afficher Save.
Mauvais choix d’EAP	PEAP (EAP‑MSCHAP v2) est hors Jeu ; seule une authentification fondée sur certificats (EAP‑TLS ou TEAP‑TLS 1.3) est acceptée en Suite B.
Support limité côté client	Le firmware One UI 5 (Android 13) du S23 introduit partiellement Suite B mais requiert One UI 6.1 (Android 14) pour le mode 192 bits côté client.
Paramètres du point d’accès	Certains contrôleurs listent « WPA3 Enterprise » par défaut (128 bits). Il faut activer explicitement WPA3 Enterprise (192‑bit Suite B) et publier la suite AES‑256‑GCMP‑SHA384.

Solution complète

Pré‑requis

• Windows Server 2022 (build 20348.2237 ou plus récent) avec rôle NPS et AD CS installés.
• Points d’accès/contrôleur Wi‑Fi capables du mode WPA3 Suite B 192 bits (Cisco Catalyst 9800 v17.12+, ArubaOS 10.5+, Ruckus SmartZone 6+, etc.).
• Terminaux Android mis à jour vers Android 14 / One UI 6.1 – la mise à jour de sécurité d’avril 2025 corrige plusieurs bugs EAP‑TLS.

Création d’un modèle de certificat conforme Suite B

1. Ouvrir Certification Authority → Certificate Templates → Manage.
2. Dupliquer le modèle « Computer » (certificat machine) afin de préserver l’auto‑enrôlement via GPO.
3. Onglet General : nommer WPA3 Suite B 192b.
4. Onglet Request Handling :
   • cocher Signature and encryption,
   • optionnel : Allow private key to be exported si MDM Android nécessite l’export PKCS#12.
5. Onglet Cryptography :
   • Provider Category : Key Storage Provider.
   • Algorithm : ECDSA_P384 (ou à défaut RSA 3072).
   • Hash : SHA‑384.
   • Minimum key size : 384.
6. Onglet Extensions :
   • Key Usage : Digital Signature, Key Encipherment.
   • Enhanced Key Usage : Client Authentication + Server Authentication.
7. Onglet Subject Name : choisir Build from this Active Directory information → DNS Name (pour les ordinateurs) ou User Principal Name (pour les utilisateurs).
8. Valider, puis Certificate Templates to Issue → sélectionner WPA3 Suite B 192b.

Conseil performance

ECDSA‑P384 réduit la charge CPU côté serveur RADIUS d’environ 40 % par rapport à RSA‑3072 tout en restant conforme Suite B ; privilégiez-le quand vos AP et Android le gèrent.

Configuration NPS (RADIUS)

1. Dans NPS (Local), clic droit → Register server in Active Directory (indispensable pour lire les attributs AD).
2. Côté RADIUS Clients : ajouter chaque contrôleur/AP avec son IP de gestion et un secret partagé robuste (32 caractères aléatoires).
3. Créer une nouvelle Network Policy :
   SectionParamètres clés ConditionsGroupe AD autorisé (ex. Wifi‑SuiteB) + NAS Port Type = Wireless IEEE 802.11 Constraints → Authentication MethodsSupprimer PEAP/CHAP.
   Ajouter EAP‑TLS uniquement.
   Sélectionner le certificat serveur émis par WPA3 Suite B 192b.
   Cocher Enable TLS 1.3 si le correctif KB5030955 est appliqué. Constraints → EncryptionLaisser AES‑256‑CCMP / GCMP ; désactiver TKIP et AES‑128. SettingsAttribution VLAN dynamique ou QoS (optionnel).

Paramétrage du point d’accès

• Choisir le profil de sécurité WPA3 Enterprise (192‑bit Suite B).
• Définir le serveur RADIUS primaire : IP NPS, port 1812, même secret partagé.
• Forcer les suites de chiffrement AES‑256‑GCMP‑SHA384 et, si disponible, TLS 1.3.
• Désactiver les modes Transition (WPA2/3) et Enterprise 128 bits sur ce SSID pour éviter les négociations « downgrade ».
• Redémarrer le service WLAN ou recharger la configuration pour pousser les nouvelles annonces (IE) aux clients.

Appareil Android (Samsung Galaxy S23)

1. Mettre l’OS à jour via Paramètres → Mise à jour logicielle : firmware minimum S91xBXXU3CXCL (avril 2025).
2. Importer le certificat racine de l’AC interne :
   • Paramètres → Connexions → Certificats → Installer depuis le stockage.
   • Choisir CA certificates, puis redémarrer.
3. Ajouter le réseau Wi‑Fi :
   • EAP method : TLS.
   • CA certificate : votre CA.
   • User certificate : sélectionner le certificat utilisateur/machine (ou laisser « Aucun » si la clé est stockée dans eSIM ou eSE).
   • Domain : FQDN du certificat serveur (ex. radius.corp.lan).
4. Le bouton Enregistrer passe alors au bleu ; la connexion s’établit en un à deux tours EAP‑TLS (≈ 300 ms).

Dépannage rapide

Vérification	Action recommandée
Logs NPS (Event Viewer → Custom Views → Network Policy and Access Services)	Rechercher l’ID 6272 (échec) : Reason Code = 16 → certificat non valide ; Reason Code = 22 → suite TLS non négociée.
Capture Wi‑Fi	Vérifier que EAP‑TLS Start apparaît et que la Server Hello propose bien TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384.
Chaîne de certificats	Importer la CA intermédiaire si l’AC est en 2 niveaux ; Android n’effectue plus de récupération AIA en 2025.
Firmware du contrôleur	Certains modèles étiquettent « Suite B 192 » mais limitent l’AKM à 128 bits. Mettre à jour vers le dernier train LTS.
Compatibilité appareil	Les Galaxy S21/S22 sous Android 13 ne prennent en charge Suite B qu’en tant que serveur (impossible côté client). Utiliser au minimum Android 14.

Informations complémentaires utiles

• Faut‑il vraiment Suite B ? Si la conformité réglementaire n’est pas obligatoire, WPA3 Enterprise 128 bits + EAP‑TLS reste plus universel et simplifie l’on‑boarding des terminaux IoT.
• Automatisation : côté Windows, l’outil certreq.exe ou une GPO d’auto‑inscription distribuent rapidement les certificats.
  Côté Android, un profil MDM (Intune, Knox Manage, SOTI) peut :
  
  1. pousser la chaîne de confiance ;
  2. déployer le certificat utilisateur (PKCS#12 ou SCEP) ;
  3. créer le profil Wi‑Fi EAP‑TLS avec domaine pré‑renseigné.
• Roadmap TLS 1.3 : la révision 2026 de Suite B rend TLS 1.3 obligatoire avec PSK DHE kea. Windows Server 2025 Insider et Android 15 l’activent par défaut ; prévoyez une phase de tests avant la bascule.
• Surveillance : activez 802.11k/v et exportez les métriques RADIUS (Accounting) vers un SIEM pour détecter les rejects code = 3 liés aux certificats expirés.

En appliquant un modèle de certificat 192 bits, en forçant EAP‑TLS et en vérifiant la conformité AES‑256‑GCMP sur l’ensemble de la chaîne, le bouton « Enregistrer » s’active et la connexion au SSID WPA3 Suite B devient immédiate.