Anticisco
http://www.anticisco.ru/forum/

EAP-TLS, Android 9 и ISE
http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11140
Страница 1 из 1

Автор:  AlexNiko [ 10 окт 2019, 11:34 ]
Заголовок сообщения:  EAP-TLS, Android 9 и ISE

Привет!

Странная ситуация, но наверное не понимаю процесса до конца.

WiN 10 в домене. Авторизация по EAP-TLS работает как по воздуху так и по проводу. Все норм. Экспортирую сертификат пользователя с закрытым ключем. Ставлю на android 9, туда-же ставлю SUB-CA.
Настраиваю WiFi. Указываю CA сертификат как SUBCA, пользовательский - как пользовательсий.
В domain - имя локального домена
В Identity пишу имя пользователя AD

Не соединяется. На ISE в логах радиуса даже ипя не опознает - пишет - USERNAME
Ошибка следюющая:
Код:
[EAP-TLS failed SSL/TLS handshake because the client rejected the ISE local-certificate
Что я могу делать не так?

И вот еще странность:
Экспортирую сертификат пользователя с ключем. Пароль 1111, если формат шифрования SHA1, но могу установить его на андройд, если SHA256 - то андройд говорит, что пароль не верный. Может тут какая проблема

Автор:  CiscoGuy [ 10 окт 2019, 11:37 ]
Заголовок сообщения:  Re: EAP-TLS, Android 9 и ISE

Ну тут очевидно, что клиент не может проверить валидность ISE сертификата.

Копать надо именно на клиенте

Автор:  AlexNiko [ 10 окт 2019, 13:20 ]
Заголовок сообщения:  Re: EAP-TLS, Android 9 и ISE

Да это понятно, вопрос как и куда. Если у меня в сети рутовый и субрутовый сертификаты - мне надо ставить chain или только сертификат субрутового?

Автор:  AlexDv [ 10 окт 2019, 15:42 ]
Заголовок сообщения:  Re: EAP-TLS, Android 9 и ISE

AlexNiko писал(а):
Да это понятно, вопрос как и куда. Если у меня в сети рутовый и субрутовый сертификаты - мне надо ставить chain или только сертификат субрутового?

По-моему надо понять - принимает ли вообще Android self-signed сертификаты.

Автор:  AlexNiko [ 10 окт 2019, 18:55 ]
Заголовок сообщения:  Re: EAP-TLS, Android 9 и ISE

Ну на уровне приложений - точно принимает. Я ставлю субрутовый для приложений и сайт с сертификатом моего CA норм открывается. А вот по поводу вифи - хрен его знает. Точно EAPTLS работает на винде и макоси. Завтра проверю ios.

Автор:  AlexNiko [ 11 окт 2019, 13:20 ]
Заголовок сообщения:  Re: EAP-TLS, Android 9 и ISE

На IPAD и IPHONE - все взлетело с пол . пинка, осталось победить Андроид )

Автор:  CiscoGuy [ 14 окт 2019, 14:10 ]
Заголовок сообщения:  Re: EAP-TLS, Android 9 и ISE

CSCvp91096
NSP fails during BYOD flow on Android 9

Workaround: Please contact TAC

По сути требуется правка БД на ISE-нодах.

Автор:  AlexNiko [ 14 окт 2019, 15:18 ]
Заголовок сообщения:  Re: EAP-TLS, Android 9 и ISE

Нет никакого BYOD - только ручная установка сертификатов

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/