Сообщения без ответов | Активные темы Текущее время: 14 ноя 2019, 11:49



Ответить на тему  [ Сообщений: 8 ] 
EAP-TLS, Android 9 и ISE 
Автор Сообщение

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 377
Привет!

Странная ситуация, но наверное не понимаю процесса до конца.

WiN 10 в домене. Авторизация по EAP-TLS работает как по воздуху так и по проводу. Все норм. Экспортирую сертификат пользователя с закрытым ключем. Ставлю на android 9, туда-же ставлю SUB-CA.
Настраиваю WiFi. Указываю CA сертификат как SUBCA, пользовательский - как пользовательсий.
В domain - имя локального домена
В Identity пишу имя пользователя AD

Не соединяется. На ISE в логах радиуса даже ипя не опознает - пишет - USERNAME
Ошибка следюющая:
Код:
[EAP-TLS failed SSL/TLS handshake because the client rejected the ISE local-certificate
Что я могу делать не так?

И вот еще странность:
Экспортирую сертификат пользователя с ключем. Пароль 1111, если формат шифрования SHA1, но могу установить его на андройд, если SHA256 - то андройд говорит, что пароль не верный. Может тут какая проблема


10 окт 2019, 11:34
Профиль

Зарегистрирован: 09 сен 2017, 11:15
Сообщения: 77
Откуда: Default City
Ну тут очевидно, что клиент не может проверить валидность ISE сертификата.

Копать надо именно на клиенте

_________________
@k@ fantik


10 окт 2019, 11:37
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 377
Да это понятно, вопрос как и куда. Если у меня в сети рутовый и субрутовый сертификаты - мне надо ставить chain или только сертификат субрутового?


10 окт 2019, 13:20
Профиль

Зарегистрирован: 23 май 2012, 15:07
Сообщения: 42
AlexNiko писал(а):
Да это понятно, вопрос как и куда. Если у меня в сети рутовый и субрутовый сертификаты - мне надо ставить chain или только сертификат субрутового?

По-моему надо понять - принимает ли вообще Android self-signed сертификаты.


10 окт 2019, 15:42
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 377
Ну на уровне приложений - точно принимает. Я ставлю субрутовый для приложений и сайт с сертификатом моего CA норм открывается. А вот по поводу вифи - хрен его знает. Точно EAPTLS работает на винде и макоси. Завтра проверю ios.


10 окт 2019, 18:55
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 377
На IPAD и IPHONE - все взлетело с пол . пинка, осталось победить Андроид )


11 окт 2019, 13:20
Профиль

Зарегистрирован: 09 сен 2017, 11:15
Сообщения: 77
Откуда: Default City
CSCvp91096
NSP fails during BYOD flow on Android 9

Workaround: Please contact TAC

По сути требуется правка БД на ISE-нодах.

_________________
@k@ fantik


14 окт 2019, 14:10
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 377
Нет никакого BYOD - только ручная установка сертификатов


14 окт 2019, 15:18
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 8 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 24


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB