Trois centimes . . .
Pour le moment, ce changement de comportement est spécifique au code Android 11, mise à jour de décembre 2020, Build number RQ1A/D selon le modèle.
Il est important de noter que cette modification de google pour les connexions WiFi d'entreprise concerne à la fois 1) l'importation manuelle possible du certificat de l'autorité de certification racine, ET 2) la spécification obligatoire du "domaine" auquel on se connecte (tel qu'il est intégré dans le certificat présenté par l'AP).
1 - Manipulation des certificats de l'AC racine :
1-a) Si l'on utilise une AC racine privée, l'utilisateur devra importer manuellement l'AC racine privée, et Android (pixel 3 dans mon cas) veut que cela soit fait spécifiquement comme un "certificat WiFi" (par opposition à CA, ou VPN, c'est juste une exigence de Google). 1-b) Si l'autorité de certification racine du certificat présenté par l'AP est publique (voir "1" ci-dessus), aucune importation manuelle n'est nécessaire car les profils WiFi sont par défaut sur "Utiliser les certificats du système" et donc vous êtes probablement déjà couvert (Ce dossier système est contrôlé par Google, l'utilisateur ne peut pas ajouter/supprimer des certificats dans ce dossier, seulement les activer/désactiver).
Comment importer ? : Paramètres -> "Sécurité" -> "Chiffrement et informations d'identification" -> "Installer un certificat" -> "Certificat Wi-Fi" puis suivez les invites pour localiser le fichier ( local, google drive, etc),. Important, vous pouvez nommer le certificat pour l'identifier facilement au moment de définir le profil Wi-Fi plus tard.
2.- Traitement obligatoire du "Domaine
Le champ "Domain" est le domaine du champ CN dans le certificat présenté par l'AP. On peut entrer le FQDN ou seulement la partie domaine de ce FQDN. Cette chaîne doit correspondre à celle du champ CN (OU au Subject Alternate Name (SAN) x509) du certificat que l'AP envoie au téléphone au moment de l'authentification. (J'ai testé avec succès l'utilisation du champ CN uniquement et non du SAN). Comment obtenir ce champ ? 2-a) L'administrateur réseau de l'utilisateur devra le fournir. OU 2-b) vous pouvez emprunter temporairement un téléphone non-WPA3 (par exemple un iphone) pour obtenir le certificat de l'AP et juste copier le champ CN du nom du sujet. Comme indiqué ci-dessus, seule la partie domaine du FQDN est nécessaire et suffisante.
3) Configurer le profil Wi-Fi
Une fois les points 1) et 2) réglés, il ne reste plus qu'à procéder à la configuration du profil Wi-Fi : Cliquez sur un nouveau SSID pour rejoindre un nouveau réseau d'entreprise (ou cliquez simplement sur "Ajouter un réseau") et suivez les instructions :
3-a ) Dans "Sécurité", choisissez WAP/WAP2/WPA3.
3-b) Dans "certificat CA" : i) Si CA racine publique rien à faire. (la valeur par défaut 'Use system certificates' couvre votre cas). ii) Si l'AC racine est privée, utilisez le menu déroulant pour sélectionner le certificat de l'AC racine que vous avez importé à l'étape 1 ci-dessus.
3-c) Dans "Domaine", entrez la chaîne de domaine résultant de l'étape 2 ci-dessus.
FAIT ! !! Important : Ces changements ne sont pas fantaisistes, mais motivés par des préoccupations de sécurité, et par les normes WPA3. Google impose la validation du certificat de l'autorité de certification racine (s'il s'agit d'une autorité de certification publique, Google s'en charge via les certificats de l'autorité de certification racine de son système, s'il s'agit d'une autorité de certification privée, il incombe à l'utilisateur d'importer manuellement le certificat de l'autorité de certification racine privée). Notez que le certificat de l'autorité de certification racine est toujours validé et que Google ne donne à l'utilisateur que le choix de désactiver la validation du certificat de l'autorité de certification racine. statut du certificat PAS la signature du certificat elle-même. L'entrée obligatoire du domaine est de faire correspondre le domaine du certificat de l'AP avec celui fourni par l'utilisateur (la validation du certificat de l'AP prouve simplement que le certificat a été signé par une autorité de certification racine de confiance, mais comment savoir si le domaine correspond à celui auquel nous pensons nous connecter et non à un "homme du milieu" ? Le seul moyen est d'obliger l'utilisateur à le spécifier, et de le vérifier par rapport au certificat de l'AP !
