我所在的位置有使用 PEAP / MSCHAPv2 身份验证的 802.1x / WPA3-Enterprise WiFi 连接。我只知道身份(用户名)和密码。
我可以连接我的所有设备:我的 Macbook、旧款 Android 手机、我的 iPad。不过我的 Android 11 手机还需要一个“域”:
请注意,所有其他设备都不需要这样做,它们只需使用身份和密码即可正常连接。
我完全不知道这里该填什么。没有系统管理员或 IT 人员可以联系。由于其他设备可以在没有任何域的情况下连接,我认为一定有办法从证书中派生出域。
如果我查看 MacOS 上的最新证书,它会显示此 WiFi 连接的“Vigor Router”证书。如果我查看证书详细信息,我会看到以下内容:
我看不到任何域名。我发现有时会在通用名称 (CN) 字段中输入域名,Vigor Router在本例中就是如此。如果我在域名中填写该域名,则不起作用。也尝试过draytek.com,www.draytek.com以防它是一些标准证书设置(此 Vigor 路由器来自 Drayek),但也没有用。
经过搜索,我还注意到它可能是“FQDN”字段,但我在证书详细信息中没有看到任何此类字段(或任何看起来像域的内容)。
我发现的其他解决方法包括在“RADIUS 服务器”上安装不同的证书,但我不知道那是什么,更重要的是,我无法访问这里的任何路由器或服务器。我只能以普通网络用户的身份连接。
有没有办法弄清楚我必须指定什么才能在 Android 11 上连接“域”?
PS 我意识到自 Android 11 以来,出于安全原因,这一点已经改变,而其他设备的做法实际上是不安全的。出于实际目的,在这种特殊情况下,我不在乎安全性——不管怎样我只需要连接。
答案1
您确实可以在网络的证书中找到正确的域(PEAP 使用常规 TLS 证书,该证书可以在 CN 或 SAN 中找到它),但是让设备自动从那里获取它会破坏域验证的整个意义。
其他设备能够连接的原因不是因为它们从证书中派生出域名,而是因为它们一开始就不费心寻找它。(Android 没有进行验证,iOS 记住了确切的证书。)不幸的是,这意味着证书甚至可能不有首先是一个有效的域名。
(但如果有的话,它会在“服务器”证书上,而不是在“根”证书上。)
然而,只有当网络使用民众TLS CA(例如 DigiCert 等)作为其证书。
您的网络似乎正在使用内部 CA,这(即使它是由路由器自动生成的垃圾 CA)仍然会使其情况完全不同 - 只要随机的人无法从中获取 TLS 证书,您就可以信任整个 CA。
您应该能够从 macOS 导出 CA 根证书并将其作为“Wi-Fi CA”导入到您的 Android 设备中。然后它应该会显示为一个选项,而不是您当前的“使用系统 CA”选项,选择它应该会使域字段成为可选项。