Android 7.1 ha introducido algunos cambios en la interfaz de conexión Wi-Fi. En 6.0, al seleccionar PEAP MSCHAPv2 en la interfaz de conexión Wi-Fi, no había certificados de CA disponibles (a menos que se hubiera instalado alguno). En 7.1 aparece una lata Use system sertificatesy Domainun campo de entrada.
Entonces, por ejemplo, quiero conectarme a Eduroam, eso requiere thawte Primary Root, usando login user@uni.org. ¿Qué se supone que debo escribir Domainy Identitycampos?
Suponiendo que desea utilizar la dirección de correo electrónico user@uni.org, Domainsería uni.orgy Identitysería user@uni.org.
Fuente: desarrolladores de XDA y originalmente Virginia Tech Helpdesk
¡Tres centavos!. .
En este momento, este cambio de comportamiento es específico del código de Android 11, actualización de diciembre de 2020, número de compilación RQ1A/D según el modelo.
Es importante tener en cuenta que este cambio de Google para la conexión WiFi empresarial se relaciona con 1) la posible importación manual del certificado CA raíz Y 2) la especificación de uso obligatorio del "Dominio" al que se está conectando (como se incluye en el certificado presentado por el AP )
1 - Gestión de certificados de CA raíz:
1-a) Si usa una CA raíz privada, el usuario deberá importar la CA raíz privada manualmente, y Android (pixel 3 en mi caso) quiere que se haga específicamente como un "certificado WiFi" (a diferencia de CA, o VPN, esto es solo un requisito de Google) 1-b) Si la CA raíz para el certificado presentado por el AP es pública (consulte "1" arriba), entonces no se necesita una importación manual porque los perfiles WiFi están predeterminados en "Usar certificados del sistema". " y, por lo tanto, es probable que ya esté cubierto (Esta carpeta del sistema está controlada por Google, el usuario no puede agregar/eliminar ningún certificado, solo activar/desactivar)
¿Cómo importar? : Configuración -> "Seguridad" -> "Cifrado y credenciales" -> "Instalar un certificado" -> "Certificado Wi-Fi" y luego siga las indicaciones para ubicar el archivo (local, Google Drive, etc.). Importante, puede nombrar el certificado para identificarlo fácilmente al momento de configurar el perfil de Wi-Fi más adelante.
2.- Manejo de "Dominio" Obligatorio
El campo "Dominio" aquí es el dominio del campo CN en el certificado presentado por el AP. Se puede ingresar el FQDN o solo la parte del dominio de ese FQDN. Esta cadena tiene que coincidir con la del campo CN (O el Nombre alternativo del sujeto (SAN) x509) en el certificado que el AP envía al teléfono en el momento de la autenticación. (He probado con éxito usando solo el campo CN y no el SAN) ¿Cómo obtener este campo? : 2-a) El administrador de la red del usuario deberá proporcionarlo. O 2-b) puede tomar prestado temporalmente un teléfono que no sea WPA3 (por ejemplo, un iPhone) para obtener el certificado AP y simplemente copiar el campo CN del nombre del sujeto. Como se especificó anteriormente, solo la parte del dominio del FQDN es necesaria y suficiente.
3) Configurar el perfil de Wi-Fi
Con 1) y 2) resueltos, todo lo que se necesita es continuar con la configuración del perfil Wi-Fi: haga clic en un nuevo SSID para unirse a una nueva red empresarial (o simplemente haga clic en "Agregar red") y siga las indicaciones:
3-a ) En "Seguridad" elige WAP/WAP2/WPA3
3-b) En "Certificado de CA": i) Si la CA raíz pública no tiene nada que hacer. (el valor predeterminado "Usar certificados del sistema" cubre su caso). ii) Si es una CA raíz privada, use el menú desplegable para seleccionar el certificado de CA raíz que importó en el paso 1 anterior.
3-c) En "Dominio" ingrese la cadena de dominio resultante de completar el Paso 2 anterior.
HECHO !!! Importante: Estos cambios no fueron caprichosos, sino impulsados por preocupaciones de seguridad y estándares WPA3. Google está forzando la validación del certificado de CA raíz (si la CA pública, Google se encarga de ello a través de los certificados de CA raíz del sistema, si es una CA privada, el usuario tiene la responsabilidad de importar manualmente el certificado de CA raíz privada). Tenga en cuenta que el certificado de CA raíz siempre se valida y que Google le da la opción al usuario solo para desactivar la validación del estado del certificado NOla propia firma del certificado. La entrada obligatoria del dominio es hacer coincidir el dominio del certificado AP con el proporcionado por el usuario (la validación del certificado AP solo prueba que el certificado fue firmado por una CA raíz confiable, pero ¿cómo sabemos que el dominio coincide con quién? ¿Estamos pensando que nos estamos conectando y no un "hombre en el medio"? ¡La única forma es obligar al usuario a especificarlo y verificarlo con el certificado AP uno!
Aprendí que el dominio se refiere a la dirección del servidor RADIUS de la red:
La universidad solía solicitar la instalación de un certificado Thawte para la conexión WiFi. Luego, cambié a DigiCert y la instalación ya no es necesaria. Entonces, su nueva configuración ahora es como:
PEAP
MSCHAPv2
Use system certificates
radius.uni.edu
user@uni.edu
___
password
Evidentemente, es un caso particular, pero la idea es clara.