我所在的位置具有使用 PEAP / MSCHAPv2 驗證的 802.1x / WPA3-Enterprise WiFi 連線。我只知道身分(使用者名稱)和密碼。
我可以連接我的所有裝置:我的 Macbook、舊版 Android 手機、我的 iPad。除了我的 Android 11 手機還需要一個「網域」:
請注意,所有其他設備不需要這樣做,它們只需使用身份和密碼即可正常連接。
我完全不知道這裡要填什麼。我無法聯絡系統管理員或 IT。由於其他裝置可以在沒有任何網域的情況下進行連接,因此我認為一定可以以某種方式從憑證中衍生出網域。
如果我查看 MacOS 上的最新證書,它會顯示此 WiFi 連線的「Vigor Router」證書。如果我查看證書詳細信息,我會看到以下內容:
我沒有看到任何網域。我發現有時會在通用名稱 (CN) 欄位中輸入一個網域,Vigor Router在本例中就是如此。如果我將其填寫為網域,則它不起作用。也嘗試過draytek.com,www.draytek.com如果它是一些標準證書設定(這個 Vigor 路由器來自 Drayek),但也沒有成功。
搜尋後,我還注意到它可能是“FQDN”字段,但我在證書詳細資訊中沒有看到任何此類字段(或任何看起來像域的字段)。
我發現的其他解決方法包括在“RADIUS 伺服器”上安裝不同的證書,但我不知道那是什麼,更重要的是我無法訪問這裡的任何路由器或伺服器。我只能以普通網路使用者進行連線。
有沒有辦法弄清楚我必須為「網域」指定什麼才能在 Android 11 上連線?
PS 我意識到,出於安全原因,這一點自 Android 11 以來已經發生了變化,並且其他設備的做法實際上是不安全的。出於實用的手段和目的,在這種特殊情況下,我不關心安全性 - 無論如何我只需要連接。
答案1
您確實可以在網路證書中找到正確的網域(PEAP 使用常規 TLS 證書,該證書將在 CN 或 SAN 中擁有它),但讓設備自動從那裡獲取它會破壞整個網域驗證。
其他裝置能夠連線的原因並不是因為它們從憑證中衍生出網域,而是因為它們一開始就懶得去尋找它。 (Android 沒有進行驗證,iOS 會記住確切的證書。)不幸的是,這意味著該證書甚至可能不存在有首先是一個有效的網域。
(但如果有的話,它將位於“伺服器”證書上,而不是“根”證書上。)
然而,只有當網路使用域驗證時才真正需要。民眾其憑證的 TLS CA(例如 DigiCert 等)。
您的網路似乎正在使用內部 CA,這(即使它是由路由器自動生成的垃圾 CA)仍然使情況變得完全不同 - 只要隨機的人無法從中獲取 TLS 證書,您就可以信任該網絡CA作為一個整體。
您應該能夠從 macOS 匯出 CA 根憑證並將其作為「Wi-Fi CA」匯入您的 Android 裝置。然後,它應該顯示為一個選項,而不是當前的“使用系統 CA”選擇,並且選擇它應該使域字段成為可選。