Estoy en una ubicación que tiene una conexión WiFi empresarial 802.1x/WPA3 mediante autenticación PEAP/MSCHAPv2. Sólo conozco la identidad (nombre de usuario) y la contraseña.
Puedo conectarme con todos mis dispositivos: mi Macbook, un teléfono Android antiguo, mi iPad. Excepto que mi teléfono con Android 11 también requiere un "dominio":
Tenga en cuenta que todos los demás dispositivos no requieren esto; pueden conectarse perfectamente solo con la identidad y la contraseña.
No tengo ni idea de qué completar aquí. No hay ningún administrador del sistema o TI con el que pueda contactar. Dado que los otros dispositivos pueden conectarse sin ningún dominio, pensé que de alguna manera debía ser posible derivar el dominio del certificado.
Si miro los certificados recientes en mi MacOS, muestra un certificado de 'Vigor Router' para esta conexión WiFi. Si miro los detalles del certificado, veo esto:
No veo ningún nombre de dominio. Encontré que a veces se ingresa un dominio en el campo Nombre común (CN), que es Vigor Routeren este caso. Si completo eso para el dominio, no funciona. También lo intenté draytek.comy www.draytek.comen caso de que se trate de alguna configuración de certificado estándar (este enrutador Vigor es de Drayek), pero tampoco lo hice.
Al buscar, también noté que puede ser el campo 'FQDN', pero no veo ningún campo de ese tipo (ni nada que parezca un dominio) en los detalles del certificado.
Otras soluciones que encontré implicaron instalar un certificado diferente en el 'servidor RADIUS', pero no tengo ni idea de qué es eso y, lo que es más importante, no tengo acceso a ningún enrutador o servidor aquí. Sólo puedo conectarme como usuario normal de la red.
¿Hay alguna manera de averiguar qué debo especificar para que el 'dominio' se conecte en Android 11?
PD: Me doy cuenta de que esto cambió desde Android 11 por razones de seguridad y que la forma en que lo hacen los otros dispositivos es realmente insegura. Por razones y propósitos prácticos, en este caso particular no me importa la seguridad: solo necesito conectarme pase lo que pase.
Respuesta1
De hecho, puede encontrar el dominio correcto en el certificado de la red (PEAP usa certificados TLS normales que lo tendrían en CN o SAN), pero hacer que el dispositivo lo tome automáticamente desde allí anularía todo el objetivo de la verificación del dominio.
La razón por la que otros dispositivos pueden conectarse no es porque obtienen el dominio del certificado, sino porque, en primer lugar, no se molestan en buscarlo. (Android no realizó ninguna verificación, iOS recuerda el certificado exacto). Lo que, desafortunadamente, implica que es posible que el certificado ni siquieratenerun dominio válido en primer lugar.
(Pero si tuviera uno, estaría en el certificado de "servidor", no en el certificado "raíz").
Sin embargo, la verificación del dominio sólo es realmente necesaria cuando la red utiliza unpúblicoTLS CA (por ejemplo, DigiCert o similar) para sus certificados.
Su red parece estar usando una CA interna, lo cual (incluso si es una CA basura generada automáticamente por el enrutador) todavía hace que la situación sea bastante diferente: siempre y cuando personas aleatorias no puedan obtener certificados TLS de ella, puede confiar en la CA en su conjunto.
Debería poder exportar el certificado raíz de CA desde macOS e importarlo a su dispositivo Android como una "CA Wi-Fi". Luego debería aparecer como una opción en lugar de su selección actual "Usar CA del sistema", y elegirla debería hacer que el campo Dominio sea opcional.