Google Android 11-安全增强(像素4)
如果您正在收到使用Android 11设备(例如Google Pixel 4)的用户投诉,这些设备无法连接到您的WPA/WPA2/WPA3/Enterprise SSID,则本文适合您。
连接到这些类型的SSID的用户自签名的域CA证书不再能够简单地接受风险并信任此证书。好吧,至少不容易。
以下是一种资源,有助于了解Google在Android 11代码中所做的更改。这是一个非常好的参考,即Google在哪里/为什么在哪里/为什么实施此更改。
使用RADIUS服务器对注册域用户帐户进行身份验证用户(BYOD),一直向最终用户提供证书信任问题,最终用户必须在访问内部网络资源之前接受自签名的证书或互联网。
Google现在已从SSID配置的CA证书部分中删除了“ do do veration”选项。过去,大多数用户选择此选项来信任证书并继续前进。
虽然,建议网络管理员从戈达迪(Godaddy!)等可信赖的根本权限(Verisign)中购买其域名CA的证书,ssl.com等等,这并不总是发生。
如果Android 11设备先前已连接到网络并已经接受了此证书,则该设备在没有用户干预的情况下仍应运行相同。但是,如果设备已被出厂默认,则将此设备重新回到网络上要困难得多,但是可以完成。此外,将引入网络的新设备还必须经过与下文所述的相同过程。
由于IT管理员,解决方案可能很简单,请从可信赖的根机构购买签名的证书,创建新的SSID并将用户迁移到新的SSID,然后在完成后删除旧的SSID。
或者,如果无法使用此选项,则下面的过程可能会起作用。
尽管提到使用API减轻用户的这种配置负担,但我尚未调查此选项。
我的解决方案如下:
Google Pixel 4A - Android 11(新开箱即用)
将手机连接到打开的SSID并完成设置。
设置→安全更新
笔记:安装最新的安全补丁程序(2021年2月5日)→我发现,试图立即使用新的手机连接到WPA2 SSID不起作用,并且要求在完成连接之前完成更新。
在本地Web服务器,共享目录,电子邮件等上,将自签名的CA证书下载到手机上。我使用Google Drive和通过Google Mail进行了此操作,但是可能还有其他方法可以分发证书。
一旦您在电话上获得证书,请打开设置→安全性→加密和凭据→安装证书→Wi-Fi证书。
这将打开电话目录选择Pixel 4→下载,您应该在此处查看列出的证书。
选择它并给它一个名字。
一旦完成,请转到设置→网络和互联网→Wi-Fi。
选择SSID。
填写所需的字段
- CA证书(选择您刚刚上传的证书)
- 领域
- 身份
- 密码
保存在底部。
现在连接到SSID。
