В Android 7.1 внесены некоторые изменения в интерфейс подключения к Wi-Fi. В 6.0 при выборе PEAP MSCHAPv2 в интерфейсе подключения Wi-Fi не было доступных сертификатов CA (если только некоторые из них не были установлены). В 7.1 можно Use system sertificatesи Domainпоявляется поле ввода.
Итак, например, я хочу подключиться к Eduroam, для которого требуется thawte Primary Root, используя логин user@uni.org. Что я должен ввести Domainи Identityполя?
Предполагая, что вы хотите использовать адрес электронной почты user@uni.org, Domainбудет uni.orgи Identityбудет user@uni.org.
Источник: разработчики XDA и первоначально Служба поддержки Virginia Tech.
Три цента!. .
В настоящее время это изменение поведения относится к коду Android 11, обновлению за декабрь 2020 г., номер сборки RQ1A/D в зависимости от модели.
Важно отметить, что это изменение Google для подключения Enterprise WiFi относится как к 1) возможному ручному импорту сертификата корневого центра сертификации, так и к 2) обязательной спецификации использования подключаемого «домена» (как встроено в сертификат, представленный точкой доступа). )
1 — обработка сертификатов корневого ЦС:
1-a) Если вы используете частный корневой ЦС, то пользователю нужно будет импортировать частный корневой ЦС вручную, а Android (пиксель 3 в моем случае) хочет, чтобы это было сделано специально как «сертификат WiFi» (в отличие от ЦС или VPN, это просто требование Google) 1-b) Если корневой ЦС для сертификата, представленного точкой доступа, является общедоступным (см. «1» выше), то ручной импорт не требуется, поскольку профили WiFi по умолчанию «Использовать системные сертификаты». "и, таким образом, вы, вероятно, уже охвачены (эта системная папка контролируется Google, пользователь не может добавлять/удалять какие-либо сертификаты в ней, только включать/выключать)
Как импортировать? : Настройки -> «Безопасность» -> «Шифрование и учетные данные» -> «Установить сертификат» -> «Сертификат Wi-Fi», затем следуйте инструкциям, чтобы найти файл (локальный, диск Google и т. д.). Важно: вы можете присвоить сертификату имя, чтобы его можно было легко идентифицировать во время настройки профиля Wi-Fi позже.
2.- Обязательная обработка "Домена"
Поле «Домен» здесь является доменом поля CN в сертификате, представленном AP. Можно либо ввести полное доменное имя, либо только доменную часть этого полного доменного имени. Эта строка должна соответствовать строке в поле CN (ИЛИ альтернативному имени субъекта x509 (SAN)) в сертификате, который точка доступа отправляет на телефон во время аутентификации. (Я успешно протестировал использование только поля CN, а не SAN) Как получить это поле? : 2-a) Сетевой администратор пользователя должен предоставить его. ИЛИ 2-b) вы можете временно одолжить телефон без WPA3 (например, iphone), чтобы получить сертификат AP, и просто скопируйте поле CN имени субъекта. Как указано выше, необходима и достаточна только доменная часть полного доменного имени.
3) Настроить профиль Wi-Fi
После того, как 1) и 2) позаботились обо всем, что необходимо, это продолжить настройку профиля Wi-Fi: Нажмите на новый SSID, чтобы присоединиться к новой корпоративной сети (или просто нажмите «Добавить сеть») и следуйте инструкциям:
3-a) В «Безопасности» выберите WAP/WAP2/WPA3.
3-б) В «Сертификате ЦС»: i) Если общедоступный корневой ЦС делать нечего. (по умолчанию «Использовать системные сертификаты» подходит для вашего случая). ii) Если частный корневой ЦС, используйте раскрывающееся меню, чтобы выбрать сертификат корневого ЦС, который вы импортировали на шаге 1 выше.
3-c) В поле «Домен» введите строку домена, полученную в результате выполнения шага 2 выше.
СДЕЛАННЫЙ !!! Важно: эти изменения не были причудливыми, а были вызваны соображениями безопасности и стандартами WPA3. Google принудительно проверяет сертификат корневого ЦС (если общедоступный ЦС Google позаботится об этом через сертификаты корневого ЦС своей системы, если частный ЦС, пользователь должен вручную импортировать сертификат частного корневого ЦС). Обратите внимание, что сертификат корневого ЦС всегда проверяется и что Google предоставляет пользователю выбор только для отключения проверки статуса сертификата .сама подпись сертификата. Обязательная запись домена должна сопоставлять домен сертификата AP с доменом, предоставленным пользователем (проверка сертификата AP просто доказывает, что сертификат был подписан доверенным корневым центром сертификации, но как мы узнаем, что домен соответствует тому, кому мы думаем, что мы подключаемся, а не к "человеку посередине"? Единственный способ - заставить пользователя указать его и проверить по сертификату AP!
Я узнал, что домен относится к адресу RADIUS-сервера сети:
Раньше университет просил установить сертификат Thawte для подключения к WiFi. Потом перешел на DigiCert и установка больше не нужна. Итак, их новая конфигурация теперь выглядит так:
PEAP
MSCHAPv2
Use system certificates
radius.uni.edu
user@uni.edu
___
password
Понятно, что это частный случай, но идея ясна.