我有一个小问题。我不确定,但如果我使用 EAP-TTLS 和 GoDaddy x509 证书来验证移动设备上的证书,客户端是否需要通过 DNS 解析 AAA 服务器并访问 AAA 服务器?
我在单独的网络中安装了 AAA 服务器,只有身份验证器(无线控制器)可以访问该服务器。客户端与接入点通信。由于证书验证错误,Android 等少数设备无法连接无线。其他设备没有问题。您会看到服务器的证书,接受后,将建立连接。AAA 服务器发送完整的链,如 RootCA、中间证书和服务器证书。
BR。托尔斯滕
答案1
不,Wi-Fi 客户端从不通过网络直接与 AAA 服务器通信(它没有 RADIUS 密钥)。它仅根据用户提供的域名验证证书。
如果您在 Android 中选择“使用系统 CA”并填写(必填)“域名”字段,它遵循与domain_suffix_matchLinux wpa_supplicant 相同的规则。
我建议使用运行 wpa_supplicant 的 Linux 客户端来测试 AP。或者,您可以使用eapol_test(也是 wpa_supplicant 的一部分)直接针对 RADIUS 服务器测试其 EAP 客户端。
答案2
听起来您需要将您的根 CA 和中级 CA 证书添加到 Android 设备的信任库中。