【安卓11系统特性】802.1x认证-部分安卓11及以上系统终端-不验证CA证书导致错误

无

 部分使用安卓11及以上系统的安卓终端，在进行802.1x认证时因选择不认证CA证书导致认证失败。 

 此为安卓11系统新特性，部分终端存在此问题（具体终端品牌or型号暂无法确定）。

// 注意：并非所有安卓11及以上终端都会存在这个问题，有的终端选择CA证书“不认证”后仍可以完成802.1x认证。

1. 现场采用安卓11系统终端做802.1x认证，选择eap-peap/mschapv2认证方式，部分安卓终端（安卓11及以上系统版本） 802.1x 认证失败，苹果和 Windows 终端 802.1x 认证正常。 
2.  安卓11系统终端802.1x认证失败原因在服务器侧显示为：认证证书错误。 
3. AC 侧debug，显示认证服务器侧回复：Access Reject（Radius 3号报文）。

1.在服务器侧收集uam日志，有如下报错，服务器侧判断为终端内部错误，一般为终端设置问题。

%% 2022-01-25 13:36:49.768 ; [ERR] ; [36424] ; EAP ; cbTlsInf: [TLS Alert] read:fatal:internal error. 

%% 2022-01-25 13:36:49.768 ; [ERR] ; [36424] ; EAP ; cbTlsInf: [cbexit] TLS_accept:failed in SSLv3 read client key exchange A(Ret=0)! 

%% 2022-01-25 13:36:49.768 ; [ERR] ; [36424] ; EAP ; EapTlsAuth.chkSsl: SSL:SSL_read returned -1 SslErrSsl(1). 

%% 2022-01-25 13:36:49.768 ; [ERR] ; [36424] ; EAP ; EapTlsAuth.chkSsl: SSL-Err:error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error. 

%% 2022-01-25 13:36:49.768 ; [ERR] ; [36424] ; EAP ; EapTlsAuth.chkSsl: SSL-Err:error:140940E5:SSL routines:ssl3_read_bytes:ssl handshake failure. 

%% 2022-01-25 13:36:49.768 ; [ERR] ; [36424] ; EAP ; EapTlsAuth.procHshakeData: SSLread error. 

%% 2022-01-25 13:36:49.768 ; [HINT] ; [36424] ; EAP ; EapTlsAuth.oprEapTls: procHshakeData returned FAIL. 

%% 2022-01-25 13:36:49.768 ; [WARN] ; [36424] ; EAP ; EapTlsAuth.oprEapTls: unsafe set errno 0xff00050. 

2.查阅终端官网说明，有如下提示 

 （官方提示：出于安全原因，我们移除了 EAP-PEAP、EAP-TLS 和 EAP-TTLS 配置中使用的“不验证”设置选项。在 Android 11 功能更新版本中，此选项已被移除。） 

【安卓11系统相关新特性英文资料介绍】

***.***/android-11-break-enterprise-wifi-connection/

3. 一般对于eap-peap/mschapv2认证，对于（苹果、Windows和安卓11系统之前的安卓终端）可以不验证终端上的服务器证书，只需要EIA侧配置根证书和服务器证书即可；但从安卓11版本开始，部分安卓终端不能选择不验证CA证书的选项了，也就是终端必须有CA证书对“不验证”的更改和修正。

1. 若异常安卓终端有预制CA证书，那么在如下截图 802.1x EAP认证过程安卓终端侧填写参数时的 Step 2 不要选择“不认证”，而是选择证书进行验证； 

 2. 若异常安卓终端没有预制CA证书，可以导入eia提供的CA证书，eia提供的CA证书有两级机构（topRoot CA以及ScendRoorCA，两个都需要导入，选择时选择二级CA即可； 

 3. 该问题主要与终端和服务器侧的交互有关，若以上方法1和2仍不能解决，则请联系服务器侧支持。