Ich befinde mich an einem Standort mit einer 802.1x/WPA3-Enterprise-WLAN-Verbindung mit PEAP/MSCHAPv2-Authentifizierung. Ich kenne nur die Identität (Benutzername) und das Passwort.
Ich kann mich mit allen meinen Geräten verbinden: meinem Macbook, einem älteren Android-Telefon, meinem iPad. Außer dass mein Android 11-Telefon auch eine „Domäne“ benötigt:
Beachten Sie, dass dies für alle anderen Geräte nicht erforderlich ist. Sie können problemlos nur mit der Identität und dem Kennwort eine Verbindung herstellen.
Ich habe keine Ahnung, was ich hier eintragen soll. Es gibt keinen Systemadministrator oder IT-Mitarbeiter, den ich kontaktieren kann. Da die anderen Geräte sich auch ohne Domäne verbinden können, dachte ich, es müsse irgendwie möglich sein, die Domäne aus dem Zertifikat abzuleiten.
Wenn ich mir die aktuellen Zertifikate auf meinem MacOS ansehe, wird für diese WLAN-Verbindung ein „Vigor Router“-Zertifikat angezeigt. Wenn ich mir die Zertifikatsdetails ansehe, sehe ich Folgendes:
Ich sehe keinen Domänennamen. Ich habe festgestellt, dass manchmal eine Domäne in das Feld „Common Name“ (CN) eingegeben wird, was Vigor Routerin diesem Fall der Fall ist. Wenn ich das als Domäne eingebe, funktioniert es nicht. Habe es auch versucht draytek.comund www.draytek.comfalls es eine Standardzertifikatseinstellung ist (dieser Vigor-Router ist von Drayek), aber auch das funktioniert nicht.
Bei der Suche ist mir auch aufgefallen, dass es sich möglicherweise um das Feld „FQDN“ handelt, aber ich sehe in den Zertifikatsdetails kein solches Feld (oder irgendetwas, das wie eine Domäne aussieht).
Andere Problemumgehungen, die ich gefunden habe, beinhalteten die Installation eines anderen Zertifikats auf dem „RADIUS-Server“, aber ich habe keine Ahnung, was das ist, und was noch wichtiger ist: Ich habe hier keinen Zugriff auf einen Router oder Server. Ich kann mich nur als normaler Netzwerkbenutzer verbinden.
Gibt es eine Möglichkeit herauszufinden, was ich für „Domäne“ angeben muss, um unter Android 11 eine Verbindung herzustellen?
PS: Mir ist bewusst, dass dies seit Android 11 aus Sicherheitsgründen geändert wurde und dass die Vorgehensweise der anderen Geräte tatsächlich unsicher ist. Aus praktischen Gründen ist mir die Sicherheit in diesem speziellen Fall egal – ich muss einfach eine Verbindung herstellen, egal was passiert.
Antwort1
Sie können die richtige Domäne tatsächlich im Zertifikat des Netzwerks finden (PEAP verwendet reguläre TLS-Zertifikate, bei denen sie sich entweder im CN oder im SAN befindet), aber wenn das Gerät sie automatisch von dort übernimmt, würde das den ganzen Sinn der Domänenüberprüfung zunichtemachen.
Der Grund, warum andere Geräte eine Verbindung herstellen können, liegt nicht darin, dass sie die Domäne aus dem Zertifikat ableiten, sondern darin, dass sie sich gar nicht erst die Mühe machen, danach zu suchen. (Android hat keine Überprüfung durchgeführt, iOS merkt sich das genaue Zertifikat.) Das bedeutet leider, dass das Zertifikat möglicherweise nicht einmalhabeneine gültige Domäne.
(Wenn es jedoch eines gäbe, wäre es auf dem „Server“-Zertifikat und nicht auf dem „Root“-Zertifikat.)
Allerdings ist die Domänenüberprüfung nur dann wirklich erforderlich, wenn das Netzwerk eineöffentlichTLS CA (z. B. DigiCert oder ähnliches) für seine Zertifikate.
Ihr Netzwerk scheint eine interne Zertifizierungsstelle zu verwenden, was die Situation jedoch völlig anders macht (selbst wenn es sich um eine vom Router automatisch generierte Schrott-Zertifizierungsstelle handelt). Solange keine beliebigen Personen TLS-Zertifikate von ihr erhalten können, können Sie der Zertifizierungsstelle als Ganzes vertrauen.
Sie sollten das CA-Stammzertifikat aus macOS exportieren und als „Wi-Fi-CA“ in Ihr Android-Gerät importieren können. Es sollte dann als Option anstelle Ihrer aktuellen Auswahl „System-CAs verwenden“ angezeigt werden und wenn Sie es auswählen, sollte das Feld „Domäne“ optional sein.