4 votes

79616e6f706521 avatar

Android 11 ne fait pas confiance à une autorité de certification privée théoriquement importée correctement pour le protocole EAP-TLS du WiFi.

Demandé el 31 de Janvier, 2021
Quand la question a-t-elle été
3707 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Cette question est similaire, mais sans rapport avec celui-ci a répondu il y a deux jours.

J'utilise WiFi EAP-TLS à la maison, depuis près d'un an, avec plusieurs systèmes d'exploitation de bureau et Android 10, sans aucun problème. Android 11 est une autre histoire, Google modifié PAE exigences donc les AC doivent être validé . J'ai toujours importé l'AC et sélectionné les options pour vérifier l'AC sur tous mes appareils, la chaîne de confiance est importante pour moi. Malheureusement, cela ne fonctionne pas sur Android 11, le WiFi Contrôle de bogues Les journaux indiquent "Certificate verification failed, error 19 (self signed certificate in certificate chain)", et pointent vers l'autorité de certification privée. Pour autant que je sache, les autorités de certification de confiance racine, qu'elles soient publiques ou privées, sont toujours auto-signées.

C'est là que réside le problème. Les AC doivent être auto-signées, or Android 11 ne fait pas confiance aux certificats auto-signés. L'autorité de certification est censée être importée correctement dans le magasin de l'autorité de certification "Utilisateur", elle y est affichée, et le certificat client par appareil est importé dans le magasin WiFi.

J'ai également posé cette question dans deux places sur Reddit, où un couple d'administrateurs de réseaux éducatifs a également le même problème de CA, mais aucune réponse n'a encore été découverte. J'espère que quelqu'un sur ce forum sait ce qu'il en est. Toute indication sera très appréciée !

(J'aurais également ajouté les tags "eap-tls" et "certificate-authority" mais je n'ai pas encore assez de réputation)

Demandé el 31 de Janvier, 2021 par 79616e6f706521

Réponses

Trop de publicités?

1voto

ollien avatar
ollien Points 61

Pour tous ceux qui ne veulent pas faire confiance à une autorité de certification publique pour leur réseau, nous avons fait en sorte que cela fonctionne en nous assurant que le dnsNme était correctement défini sur nos certificats. Notre CN était égal à un domaine, et notre SAN avait incorrectement le champ DNS du SAN égal à une chaîne comme "Notre serveur RADIUS". En remplaçant ce champ par un domaine correct et en définissant le champ "domain" dans les paramètres, cela a fonctionné.

D'après les documents du SDK Android (quel endroit pour trouver une réponse à cette question), si un SAN est présent, il est préféré sur un CN.

https://developer.Android.com/reference/Android/net/wifi/WifiEnterpriseConfig#setDomainSuffixMatch(java.lang.String)

Répondu el 9 de Février, 2021 par ollien (61 Points )

0voto

79616e6f706521 avatar
79616e6f706521 Points 31

Ce problème a été résolu avec l'aide de la communauté Reddit /r/networking. Le fil indique que le certificat du serveur RADIUS doit être émis par une AC publique. Les certificats des clients peuvent (et doivent) toujours être émis par une ICP privée. La nouvelle Domaine dans la boîte de dialogue de configuration wifi doit être la suivante CN o subjectAlternateName du certificat du serveur, selon la spécification WAP3. Je n'ai pas eu besoin d'installer l'AC privée dans Android 11.

Répondu el 7 de Février, 2021 par 79616e6f706521 (31 Points )

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

androidalle.com

AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X