私は、PEAP / MSCHAPv2 認証を使用した 802.1x / WPA3-Enterprise WiFi 接続がある場所にいます。私が知っているのは ID (ユーザー名) とパスワードだけです。
MacBook、古い Android スマートフォン、iPad など、すべてのデバイスに接続できます。ただし、Android 11 スマートフォンでは「ドメイン」も必要です。
他のすべてのデバイスではこれが必要なく、ID とパスワードだけで問題なく接続できることに注意してください。
ここに何を記入すればいいのか全くわかりません。連絡できるシステム管理者や IT 部門はありません。他のデバイスはドメインなしで接続できるので、証明書からドメインを導き出すことは何とかできるはずだと考えました。
MacOS で最近の証明書を確認すると、この WiFi 接続の「Vigor Router」証明書が表示されます。証明書の詳細を確認すると、次のようになります。
ドメイン名が表示されません。コモン ネーム (CN) フィールドにドメインが入力されることがあるようですが、Vigor Router今回のケースはまさにその通りです。ドメインにそれを入力しても機能しません。また、標準の証明書設定 (この Vigor ルーターは Drayek 製) の可能性もあるので試してみましたdraytek.comが、www.draytek.comやはり機能しません。
検索してみると、「FQDN」フィールドかもしれないことにも気付きましたが、証明書の詳細にはそのようなフィールド (またはドメインのように見えるもの) は見当たりません。
私が見つけた他の回避策は、「RADIUS サーバー」に別の証明書をインストールすることでしたが、それが何なのか私にはわかりません。さらに重要なのは、ここではどのルーターやサーバーにもアクセスできないことです。通常のネットワーク ユーザーとしてのみ接続できます。
Android 11 で接続するために「ドメイン」に何を指定する必要があるかを知る方法はありますか?
PS これはセキュリティ上の理由で Android 11 以降変更されており、他のデバイスが行う方法は実際には安全ではないことを認識しています。実用的な手段と目的のため、この特定のケースではセキュリティは気にしていません。何があろうと接続する必要があるだけです。
答え1
確かに、ネットワークの証明書で正しいドメインを見つけることができます (PEAP は、CN または SAN のいずれかに含まれる通常の TLS 証明書を使用します) が、デバイスがそこから自動的にドメインを取得するようにすると、ドメイン検証の目的全体が損なわれます。
他のデバイスが接続できるのは、証明書からドメインを導出しているからではなく、そもそもドメインを探す手間がかからないからです。(Androidは検証を行わず、iOSは正確な証明書を記憶しています。)これは残念ながら、証明書が持っているまず第一に有効なドメインです。
(ただし、もしあるとしたら、それは「ルート」証明書ではなく「サーバー」証明書にあるはずです。)
ただし、ドメイン検証は、ネットワークが公共証明書用の TLS CA (例: DigiCert など)。
ネットワークは内部 CA を使用しているようですが、これは (ルーターによって自動生成されたガベージ CA であっても) 状況がまったく異なります。ランダムな人がそこから TLS 証明書を取得できない限り、CA 全体を信頼しても問題ありません。
macOS から CA ルート証明書をエクスポートし、Android デバイスに「Wi-Fi CA」としてインポートできるはずです。これにより、現在の「システム CA を使用する」選択の代わりにオプションとして表示され、これを選択するとドメイン フィールドがオプションになります。