Я нахожусь в месте, где есть подключение WiFi 802.1x / WPA3-Enterprise с использованием аутентификации PEAP / MSCHAPv2. Я знаю только идентификатор (имя пользователя) и пароль.
Я могу подключиться со всех моих устройств: мой Macbook, старый телефон Android, мой iPad. За исключением моего телефона Android 11, который также требует "домен":
Обратите внимание, что всем остальным устройствам это не требуется, они могут без проблем подключиться, используя только идентификационные данные и пароль.
Я совершенно не представляю, что здесь заполнять. Нет системного администратора или IT-отдела, с которым я мог бы связаться. Поскольку другие устройства могут подключаться без домена, я решил, что каким-то образом можно вывести домен из сертификата.
Если я посмотрю на последние сертификаты на моем MacOS, то он покажет сертификат 'Vigor Router' для этого WiFi-подключения. Если я посмотрю на данные сертификата, то увижу следующее:
Я не вижу никакого доменного имени. Я обнаружил, что иногда домен вводится в поле Common Name (CN), что Vigor Routerв данном случае. Если я заполняю его для домена, это не работает. Также пробовал draytek.comи www.draytek.comв случае, если это какая-то стандартная настройка сертификата (этот маршрутизатор Vigor от Drayek), но тоже ничего не вышло.
При поиске я также заметил, что это может быть поле 'FQDN', но я не вижу такого поля (или чего-либо похожего на домен) в сведениях о сертификате.
Другие найденные мной обходные пути включали установку другого сертификата на 'RADIUS-сервере', но я понятия не имею, что это такое, и, что более важно, у меня нет доступа ни к одному маршрутизатору или серверу здесь. Я могу подключиться только как обычный сетевой пользователь.
Есть ли способ выяснить, что мне нужно указать для «домена» для подключения на Android 11?
PS Я понимаю, что это было изменено с Android 11 по соображениям безопасности, и что способ, которым это делают другие устройства, на самом деле небезопасен. С практической точки зрения и в данном конкретном случае мне не важна безопасность — мне просто нужно подключиться, несмотря ни на что.
решение1
Действительно, вы можете найти правильный домен в сертификате сети (PEAP использует обычные сертификаты TLS, которые содержат его либо в CN, либо в SAN), но если бы устройство автоматически брало его оттуда, это бы свело на нет весь смысл проверки домена.
Причина, по которой другие устройства могут подключаться, заключается не в том, что они получают домен из сертификата, а в том, что они изначально не утруждают себя его поиском. (Android не выполнил проверку, iOS помнит точный сертификат.) Что, к сожалению, подразумевает, что сертификат может даже неиметьдействительный домен в первую очередь.
(Но если бы он был, то находился бы в сертификате «сервера», а не в «корневом» сертификате.)
Однако проверка домена действительно необходима только тогда, когда сеть используетпубличныйTLS CA (например, DigiCert или подобный) для своих сертификатов.
Похоже, ваша сеть использует внутренний центр сертификации, что (даже если это мусорный центр сертификации, автоматически сгенерированный маршрутизатором) все равно делает ситуацию совершенно другой — пока случайные люди не могут получить от него сертификаты TLS, вы можете доверять центру сертификации в целом.
Вы должны иметь возможность экспортировать корневой сертификат CA из macOS и импортировать его на свое устройство Android как "Wi-Fi CA". Затем он должен отображаться как опция вместо текущего выбора "Use system CAs", и его выбор должен сделать поле Domain необязательным.