问题描述
我正在为我的公司设置WPA2企业安全Wifi。我设置了一个RADIUS服务器(FreeRadius),该服务器与我们的Azure AD对话以对我们的用户进行身份验证。由于连接(RADIUS AzureAD)的性质,EAP-TTLS是唯一可以使用的协议。
由于EAP-TTLS可以通过服务器证书进行服务器验证,但是客户端不必通过客户端证书进行验证,这使得部署到连接到我们WiFi的员工很容易,因为我不必部署客户端认证所有客户端设备。
问题是我不了解连接客户端的确切过程。
示例#1 :将iOS设备连接到WiFi时,我在屏幕上看到了在RADIUS服务器上生成的虚拟CA和服务器证书。我可以选择不信任他们。这样就完成了服务器验证,这使连接安全并且对我来说完全有意义。
示例2 :在连接Android设备时,我未收到带有CA和服务器证书的提示。我得到的是以下一种选择:
- 选择一个CA证书->这意味着我必须将RADIUS生成的CA证书部署到每个客户端设备。这对我来说没有任何意义,因为最后就像是我将客户端证书部署到设备上一样,这会使设置变得非常复杂,并且使EAP-TTLS的主要优势无效。
- 不验证->这意味着设备仅连接到网络而根本不验证服务器。这样,我也可以连接到WiFi,但这是不可接受的,因为客户端根本不验证服务器,这使网络不安全。
- 使用系统证书->选择此项会提示用户输入域。我想此选项默认情况下使用的是Android预先安装的CA,但是我不确定该怎么做。设备要求哪个域?如果我输入公司的域,则无法以这种方式进行连接,RADIUS服务器说客户端具有未知的CA证书。有道理,因为该设备未使用其生成的CA证书。
总而言之,我了解iOS进行连接的方式,并且在我看来,这就是EAP-TTLS应该通过服务器验证和所有方式工作的方式。 Android使事情变得非常混乱,因为它使我手动在设备上安装CA,而不仅仅是通过启动的连接(如iOS)来获取它。
有人可以指出我在这里缺少什么吗?我是否在某些假设中错了?或者这只是应该以这种方式工作的Android技术性?在这种情况下,最简单的设置解决方案是什么?
谢谢!
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)