moin zusammen,
ich betreue auch einige größere wlan-systeme und es kommen immer mal wieder problemmeldungen beim verbindungsaufbau von geräten einzelner hersteller (vor allem google pixel). bekannt ist, dass google im android stock-rom vor einiger zeit änderungen vorgenommen hat, dass man die zertifikatsvalidierung bei der verbindung mit einer wpa2-enterprise ssid nicht mehr "umgehen" kann. da mag man von halten was man will, aber irgendwie muss das ganze ja funktionieren...
konkret sieht das system folgendermaßen aus:
android-client -> uap-ac-hd -> (unifi-controller) -> radius-server
der radius-server präsentiert ein wildcard-zertifikat von letsencrypt, beim verbindungsaufbau wird eine zum zertifikat passende domain angegeben, aber nach einer ungemessenen zeitspanne schlägt der verbindungsaufbau mit einer meldung wie "verbindung fehlgeschlagen" fehl, ohne irgendeinen logeintrag im controller...
ich kenne den genauen ablauf des handshakes android-client <-> uap-ac-hd <-> radius-server nicht genau und vor allem nicht, an welcher stelle das zertifikat ins spiel kommt. aus meiner erfahrung bei anderen verschlüsselten verbindungen (z.b. web), sollte der ap beim radius-server eine authentifizierungsanfrage stellen, was im controller nur als (in diesem fall interne) ip-adresse an zu geben ist, dann präsentiert der radius-server das zertifikat, das für eine domain mit allen subdomains ausgestellt ist, was logischerweise die angefragte ip-adresse nicht enthält (enthalten kann/darf) und die verifizierung des zertifikats schlägt fehl...
hat jemand erfahrung in diesem bereich oder es bestenfalls schon mal so in betrieb genommen, denn ich kann nicht wirklich hilfreiche informationen dazu finden?
danke und gruß
Nils
