4 votos

Usuario no registrado avatar

Wifi WPA Enterprise - En Android 11, en "Estado del certificado en línea", ¿cuál es la diferencia entre las distintas opciones?

Preguntado el 9 de Mayo, 2021
Cuando se hizo la pregunta
172 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Hace poco noté que mi Note 10 ya no se asociaba a mi wifi pero todos los demás teléfonos sí. Desde entonces he resuelto el problema volviendo a validar mis certificados, pero no puedo conseguir que funcionen las opciones 'Requerir estado para todos los certificados' o 'Requerir estado para certificados no fiables'. La opción "Solicitar estado" sí funciona, así como la opción "No validar".

'Requerir estado para todos los certificados' falla con en el extremo de freeradius con -

(36) eap: Expiring EAP session with state 0xb8be52eabb005f50
(36) eap: Finished EAP session with state 0xb8be52eabb005f50
(36) eap: Previous EAP request found for state 0xb8be52eabb005f50, released from the list
(36) eap: Peer sent packet with method EAP TLS (13)
(36) eap: Calling submodule eap_tls to process data
(36) eap_tls: Continuing EAP-TLS
(36) eap_tls: [eaptls verify] = ok
(36) eap_tls: Done initial handshake
(36) eap_tls: <<< recv TLS 1.1  [length 0002]
(36) eap_tls: ERROR: TLS Alert read:fatal:internal error
(36) eap_tls: TLS_accept: Need to read more data: error
(36) eap_tls: ERROR: Failed in __FUNCTION__ (SSL_read): error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error
(36) eap_tls: TLS - In Handshake Phase
(36) eap_tls: TLS - Application data.
(36) eap_tls: ERROR: TLS failed during operation
(36) eap_tls: ERROR: [eaptls process] = fail
(36) eap: ERROR: Failed continuing EAP TLS (13) session.  EAP sub-module failed
(36) eap: Sending EAP Failure (code 4) ID 190 length 4

El estado requerido para no ser de confianza' se cuelga con Android finalmente renunciando a esto en el extremo de freeradius -

(5) eap_tls: [eaptls start] = request
(5) eap: Sending EAP Request (code 1) ID 243 length 6
(5) eap: EAP session adding &reply:State = 0xcff1ecc3cf02e118
(5)     [eap] = handled
(5)   } # authenticate = handled
(5) Using Post-Auth-Type Challenge
(5) Post-Auth-Type sub-section not found.  Ignoring.
(5) # Executing group from file /etc/raddb/sites-enabled/default
(5) Sent Access-Challenge Id 247 from 192.168.45.251:1812 to 192.168.45.37:33524 length 0
(5)   EAP-Message = 0x01f300060d20
(5)   Message-Authenticator = 0x00000000000000000000000000000000
(5)   State = 0xcff1ecc3cf02e118ed54fc1c4b664912
(5) Finished request
Waking up in 4.9 seconds.
(5) Cleaning up request packet ID 247 with timestamp +19
Ready to process requests

¿Qué tengo que implementar o corregir para que estas dos opciones funcionen también?

Preguntado el 9 de Mayo, 2021 por Usuario no registrado

Respuesta

¿Demasiados anuncios?

3voto

criss avatar
criss Puntos 58

"Solicitud de estado de certificado" es la terminología oficial de TLS para Grapado OCSP .

Es muy probable que la opción Android sea un mapeo directo a la opción wpa_supplicant correspondiente (al igual que el campo "Domain" es domain_suffix_match, y así sucesivamente).

Respondido el 9 de Mayo, 2021 por criss (58 Puntos )

0 votos

Avatar de jj_p

Tengo un problema (posiblemente) relacionado: en Android 13, la opción 'solicitar' funciona, pero la 'requerir' falla, lo que me hace pensar que el certificado no está realmente validado. Creo que esto puede deberse a que el dominio *.ruw.midominio.com contiene un *: ¿sabéis si este puede ser el problema?

Comentado el 26 de Octubre, 2022 por jj_p

1 votos

Avatar de criss

OCSP no valida los nombres de host (eso ya se hace como parte de las comprobaciones normales) - el propósito de OCSP es verificar que el certificado no ha sido revocada y nada más. Si "require" falla, parece que el servidor EAP TLS no está configurado para responder a las solicitudes de OCSP-stapling.

Comentado el 26 de Octubre, 2022 por criss

0 votos

Avatar de jj_p

Ya veo, gracias. Tal vez entonces no he notado este problema con wpa_supplicant en linux como yo no estoy explícitamente la aplicación de ocsp allí.

Comentado el 26 de Octubre, 2022 por jj_p

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

PreguntAndroid.com

PreguntAndroid es una comunidad de usuarios de Android en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X