¡Tres centavos! .
En este momento este cambio de comportamiento es específico para el código de Android 11, actualización de diciembre de 2020, número de compilación RQ1A/D dependiendo del modelo.
Es importante tener en cuenta que este cambio de google para la conexión WiFi de la empresa se refiere tanto a 1) la posible importación manual del certificado de la CA root, Y 2) la especificación de uso obligatorio del "Dominio" que se está conectando (como incrustado en el cert presentado por el AP)
1 - Manejo de certificados de CA root :
1-a) Si se utiliza una CA root privada, el usuario tendrá que importar la CA root privada manualmente, y Android (pixel 3 en mi caso) quiere que se haga específicamente como un "certificado WiFi" (en lugar de CA, o VPN, esto es sólo un requisito de Google) 1-b) Si la CA root del certificado presentado por el AP es pública ( ver "1" arriba) entonces no se necesita importar manualmente porque los perfiles WiFi están por defecto en "Usar certificados del sistema" y por lo tanto es probable que ya esté cubierto ( Esta carpeta del sistema está controlada por Google, el usuario no puede añadir/borrar ningún certificado en ella sólo activar/desactivar)
¿Cómo importar? : Ajustes -> "Seguridad" -> "Cifrado y credenciales" -> "Instalar un certificado" -> "Certificado Wi-Fi" y luego seguir las indicaciones para localizar el archivo (local, google drive, etc),. Importante, puede nombrar el certificado para identificarlo fácilmente a la hora de configurar el perfil Wi-Fi más adelante.
2.- Manipulación obligatoria del "dominio"
El campo "Dominio" aquí es el dominio del campo CN en el certificado presentado por el AP. Se puede introducir el FQDN o sólo la parte del dominio de ese FQDN. Esta cadena tiene que coincidir con la del campo CN (O el nombre alternativo del sujeto x509 (SAN) ) en el certificado que el AP envía al teléfono en el momento de la autenticación. (He probado con éxito usando el campo CN solamente y no el SAN) ¿Cómo obtener este campo? 2-a) El administrador de la red del usuario tendrá que proporcionarlo. O 2-b) puede pedir prestado temporalmente un teléfono que no sea WPA3 (por ejemplo, un iPhone) para obtener el certificado AP y simplemente copiar el campo CN del nombre del sujeto. Como se especificó anteriormente, sólo la parte del dominio del FQDN es necesaria y suficiente.
3) Configurar el perfil Wi-Fi
Una vez solucionados los puntos 1) y 2), sólo hay que proceder a la configuración del perfil Wi-Fi: Haga clic en un nuevo SSID para unirse a una nueva red de empresa ( o simplemente haga clic en "Añadir red") y siga las indicaciones:
3-a ) En "Seguridad" elija WAP/WAP2/WPA3
3-b) En "Certificado CA" : i) Si la CA root pública no hay nada que hacer. (la opción por defecto "Usar certificados del sistema" cubre su caso). ii) Si la CA root es privada, utilice el menú desplegable para seleccionar el certificado de CA root que importó en el paso 1 anterior
3-c) En "Dominio" introduzca la cadena de dominio resultante de completar el paso 2 anterior.
¡¡¡HECHO!!! Importante: Estos cambios no son caprichosos, sino que están motivados por cuestiones de seguridad y por los estándares WPA3. Google está forzando la validación del certificado de la CA root (si la CA es pública, Google se encarga de ello a través de su sistema de certificados de la CA root, si la CA es privada, el usuario debe importar manualmente el certificado de la CA root privada). Tenga en cuenta que el certificado de CA root siempre se valida y que Google sólo da la opción al usuario de desactivar la validación del estado del certificado NO la propia firma del certificado. La entrada obligatoria del dominio es para cotejar el dominio del certificado de la AP con el proporcionado por el usuario (la validación del certificado de la AP sólo prueba que el certificado fue firmado por una CA root de confianza, pero ¿cómo sabemos que el dominio coincide con quien creemos que nos estamos conectando y no con un "hombre en el medio"? La única manera es forzar al usuario a especificarlo, y verificar contra el certificado de la AP.
