• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

谷歌手机无线8021.x认证报证书认证错误

2022-01-25 发表
  • 0关注
  • 1收藏 701浏览
粉丝:2人 关注:1人

组网及说明

不涉及 


问题描述

现场使用谷歌手机做无线802.1x认证(eap-peap/mschapv2)认证,认证时报证书认证错误,故障截图如下:


过程分析

1、查看eia侧证书配置,看是否已导入预置证书,现场已经导入预置证书,且证书校验合法


2、收集uam debug日志,查看对应的debug日志有如下报错,一般这个报错像是客户端服务器内部错误,一般为手机设置问题

%% 2022-01-25 13:36:49.768 ; [ERR] ; [36424] ; EAP ; cbTlsInf: [TLS Alert] read:fatal:internal error.
%% 2022-01-25 13:36:49.768 ; [ERR] ; [36424] ; EAP ; cbTlsInf: [cbexit]     TLS_accept:failed in SSLv3 read client key exchange A(Ret=0)!
%% 2022-01-25 13:36:49.768 ; [ERR] ; [36424] ; EAP ; EapTlsAuth.chkSsl: SSL:SSL_read returned -1 SslErrSsl(1).
%% 2022-01-25 13:36:49.768 ; [ERR] ; [36424] ; EAP ; EapTlsAuth.chkSsl: SSL-Err:error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error.
%% 2022-01-25 13:36:49.768 ; [ERR] ; [36424] ; EAP ; EapTlsAuth.chkSsl: SSL-Err:error:140940E5:SSL routines:ssl3_read_bytes:ssl handshake failure.
%% 2022-01-25 13:36:49.768 ; [ERR] ; [36424] ; EAP ; EapTlsAuth.procHshakeData: SSLread error.
%% 2022-01-25 13:36:49.768 ; [HINT] ; [36424] ; EAP ; EapTlsAuth.oprEapTls: procHshakeData returned FAIL.
%% 2022-01-25 13:36:49.768 ; [WARN] ; [36424] ; EAP ; EapTlsAuth.oprEapTls: unsafe set errno 0xff00050.

3、一般eap-peap/mschapv2认证,客户端是可以不验证服务器证书的,只需要EIA侧配置根证书和服务器证书即可。但是现场是个谷歌手机,查看该手机官网说明,有如下提示,也就是说从安卓11版本开始,客户端侧不能选择不验证CA证书的选项了,也就是客户端必须有CA证书

对“不验证”的更改和修正

重要提示:出于安全原因,我们移除了 EAP-PEAP、EAP-TLS 和 EAP-TTLS 配置中使用的“不验证”设置选项。在 Android 11 功能更新版本中,此选项已被移除。

4、因为EIA侧的CA证书,是购买的商业证书,现场谷歌手机上已经预置了此证书。因此不需要在额外导入,如果手机没有预置该证书,可以导入eia提供的CA证书,eia提供的CA证书有两级机构(topRoot CA以及ScendRoorCA,两个都需要导入,选择时选择二级CA即可)。

5、现场预置了EIA CA证书后,还是出现证书认证错误,经检查是域名配置错误导致。

解决方法

1、按照下图进行配置,其中域名配置为mdmbyod.h3c.com


2、另外附件附上普通安卓手机的设置方法,其他句点如果有需要也可以参考


该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作