Néhány oprendszeren beállítottam már a címben szereplő WiFi hálózathoz történő csatlakozást, de a Mac OS X egy kicsit kifogott rajtam (mondjuk, olyan megoldást egy oprendszernél sem találtam, ami egyszerre lenne felhasználóbarát és biztonágos).
Szóval a kérdés a következő: A radius szerver tanúsítványát úgy vásároltam. A legfőbb tanúsítvány - amit, ha jól emlékszem a Mac OS X nem tartalmaz alapértelmezetten, de a Windowsok igen - nem közvetlenül írta alá a szervertanúsítványt, hanem a kettő között még két elem van a tanúsítványláncban. A radius szerver a teljes tanúsítványláncot (vagyis mind a négy tanúsítvány a főtanúsítványtól a szerver tanúsítványáig) elküldi a kliensnek a PEAP SSL kommunikáció során.
A problémám az, hogy nem jöttem rá, hogy a tanúsítványlánc mely elemét/elemeit kell felvenni a keychain-be, és melyiket milyen módon kell megbízhatóként megjelölni. Eddig akárhogy próbálkoztam, a csatlakozás hol sikeres volt, hol sikertelen, látszólag függetlenül attól, melyik tanúsítványt hogyan jelöltem megbízhatónak.
Előre is köszi a segítséget.
- 4453 megtekintés
Hozzászólások
Senki?
- A hozzászóláshoz be kell jelentkezni
Kicsit bonyolult a Keychain viselkedese. Amit megprobalnek a helyedben, hogy tedd fel eloszor is a root CA-t, es allitsd be trusted-re, utana pedig szepen haladj lefele a tanusitvanylancon. Bar en nem Wifi-vel, hanem imaps-sel szivtam, arra tok jo volt az alabbi 2 link:
http://www.hawkwings.net/2005/10/28/self-signed-ssl-certificates-in-app…
http://www.whoopis.com/howtos/mail.app-sslcerts.html
Good luck :)
- A hozzászóláshoz be kell jelentkezni
Hello,
Én is küzdök a problémával időnként, főleg, hogy a Mac OS X verziójától is függ, hogy miként lehet a WPA/PEAP beállításokat megtenni. Amire idáig jutottam, az az, hogy ha a szerver tanúsítványát megbízhatónak jelölöm és ezáltal bekerül a keychainbe, akkor már a későbbiekben nem jelez hibás tanúsítványt.
Az más kérdés, hogy a keychainben megnézve a felvett tanúsítvány mindaddig nem lesz teljesen trusted, míg a teljes tanúsítványlánc nem áll össze a System Roots-ig.
A használt tanúsítványláncom eggyel rövidebb, a legfőbb tanúsítvány a Mac által ismert, csak a szerver és az azt aláíró CA tanúsítványát kell a keychainbe importálnom a teljes rendhez.
A csatlakozás sikeressége azonban nem csak ezen múlik. Tapasztalatom szerint sikertelen kapcsolódás esetén érdemes az Airport-ot ki/be kapcsolni. Csodákra képes ;)
Üdv,
Laci
- A hozzászóláshoz be kell jelentkezni
> Amire idáig jutottam, az az, hogy ha a szerver tanúsítványát megbízhatónak jelölöm és ezáltal bekerül a keychainbe, akkor már a későbbiekben nem jelez hibás tanúsítványt.
Én inkább a főtanúsítvány szeretném megbízhatónak jelölni. A szerverét is lehet, de az elég gányolósnak tűnik.
> Mac OS X verziójától is függ, hogy miként lehet a WPA/PEAP beállításokat megtenni.
Ez igaz lehet. Tegnap be kellett állítani egyet, és úgy döntöttem, egy életem, egy halálom, csak a főtanúsítvány legyen trusted. Az első két belépés sikertelen volt (sajnos ilyenkor a Max OS X félrevezető hibaüzenetet ad, SSL hiba helyett arra panaszkodik, hogy nem kapott IP-címet, és csak a radius szerver debugolásával sikerült rájönni az igazi okra), harmadszorra viszont sikeres volt a belépés. Azt gondolom, ennek így kellene működnie, de láttam már olyan, hogy egyszer működik, aztán a következő próbálkozásnál nem (pedig semmit nem konfiguráltam). Remélem, ezúttal nem ez lesz a helyzet. Lehet, hogy verziófüggő a probléma, esetleg valami frissítésektől is függ (nem tudom, van-e ilyesmi Mac OS X-nél).
> Tapasztalatom szerint sikertelen kapcsolódás esetén érdemes az Airport-ot ki/be kapcsolni. Csodákra képes ;)
Na, ezt én is észrevettem pár óra szenvedés után. Sőt, nekem úgy tűnik, elég kilépni a hálózati tulajdonságokból, hogy rájöjjön, változtattam valamit (érdekes, az apply gomb nem elég?!).
- A hozzászóláshoz be kell jelentkezni