无
部分使用安卓11及以上系统的安卓终端,在进行802.1x认证时因选择不认证CA证书导致认证失败。
此为安卓11系统新特性,部分终端存在此问题(具体终端品牌or型号暂无法确定)。
// 注意:并非所有安卓11及以上终端都会存在这个问题,有的终端选择CA证书“不认证”后仍可以完成802.1x认证。
1.在服务器侧收集uam日志,有如下报错,服务器侧判断为终端内部错误,一般为终端设置问题。
%% 2022-01-25 13:36:49.768 ; [ERR] ; [36424] ; EAP ; cbTlsInf: [TLS Alert] read:fatal:internal error.
%% 2022-01-25 13:36:49.768 ; [ERR] ; [36424] ; EAP ; cbTlsInf: [cbexit] TLS_accept:failed in SSLv3 read client key exchange A(Ret=0)!
%% 2022-01-25 13:36:49.768 ; [ERR] ; [36424] ; EAP ; EapTlsAuth.chkSsl: SSL:SSL_read returned -1 SslErrSsl(1).
%% 2022-01-25 13:36:49.768 ; [ERR] ; [36424] ; EAP ; EapTlsAuth.chkSsl: SSL-Err:error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error.
%% 2022-01-25 13:36:49.768 ; [ERR] ; [36424] ; EAP ; EapTlsAuth.chkSsl: SSL-Err:error:140940E5:SSL routines:ssl3_read_bytes:ssl handshake failure.
%% 2022-01-25 13:36:49.768 ; [ERR] ; [36424] ; EAP ; EapTlsAuth.procHshakeData: SSLread error.
%% 2022-01-25 13:36:49.768 ; [HINT] ; [36424] ; EAP ; EapTlsAuth.oprEapTls: procHshakeData returned FAIL.
%% 2022-01-25 13:36:49.768 ; [WARN] ; [36424] ; EAP ; EapTlsAuth.oprEapTls: unsafe set errno 0xff00050.
2.查阅终端官网说明,有如下提示
(官方提示:出于安全原因,我们移除了 EAP-PEAP、EAP-TLS 和 EAP-TTLS 配置中使用的“不验证”设置选项。在 Android 11 功能更新版本中,此选项已被移除。)
【安卓11系统相关新特性英文资料介绍】
***.***/android-11-break-enterprise-wifi-connection/
3. 一般对于eap-peap/mschapv2认证,对于(苹果、Windows和安卓11系统之前的安卓终端)可以不验证终端上的服务器证书,只需要EIA侧配置根证书和服务器证书即可;但从安卓11版本开始,部分安卓终端不能选择不验证CA证书的选项了,也就是终端必须有CA证书对“不验证”的更改和修正。
1. 若异常安卓终端有预制CA证书,那么在如下截图 802.1x EAP认证过程安卓终端侧填写参数时的 Step 2 不要选择“不认证”,而是选择证书进行验证;
2. 若异常安卓终端没有预制CA证书,可以导入eia提供的CA证书,eia提供的CA证书有两级机构(topRoot CA以及ScendRoorCA,两个都需要导入,选择时选择二级CA即可;
3. 该问题主要与终端和服务器侧的交互有关,若以上方法1和2仍不能解决,则请联系服务器侧支持。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作