Solução de Problemas

Problemas de conexão

Visão do cliente

XML incorreto

Verifique se o seu cliente possui um certificado para autenticar e se você está usando o perfil de configuração WiFi correto ou XML.

Problemas com raiz confiável

Verifique se você realizou o seguinte:

• Informou ao seu Servidor RADIUS quais certificados estão autorizados a conectar conforme descrito aqui

• Importou o certificado ativo do Servidor RADIUS como raiz confiável no seu cliente conforme descrito aqui

• Verifique seus Registros. Há uma descrição detalhada do erro. Talvez seja um isto problema.

Continuar conectando?

Se seus clientes precisam verificar na primeira conexão e você está vendo esta caixa de diálogo:

Certifique-se de que você referenciou o certificado do servidor RADIUS no seu perfil WiFi e forneceu o atributo SAN (FQDN) do certificado do servidor e o nome comum (CN):

Visão do servidor

CA desconhecida

Se seus Registros contenham mensagens de erro semelhantes às mostradas abaixo

pode ter as seguintes causas raízes:

• O cliente gera erro Alerta TLS read:fatal:CA desconhecida

  • Seu Cliente não conhece o certificado do Servidor e rejeita a conexão. Verifique se você adicionou seu certificado do Servidor conforme descrito aqui.

  • Você alterou/adicionou um novo certificado do Servidor e seu perfil XML no cliente está usando o antigo. Nesse caso, por favor verifique duas vezes se você atualizou seu perfil WiFi/Com fio ou re-gerou seu XML após adicionar os certificados e o enviou para seus clientes.

• O servidor gera erro Alerta TLS write:fatal:CA desconhecida

  • Seu servidor RADIUS não conhece o emissor do certificado que foi usado para autenticação. Adicione sua CA conforme descrito aqui.

Certificado desconhecido

Se você usa macOS (e possivelmente outras plataformas Apple) e se seus Registros contenham mensagens de erro semelhantes à mostrada abaixo

pode ter as seguintes causas raízes:

• Há um caractere de espaço em algum lugar no Nome do servidor do certificado no seu WiFi ou Cabo perfil de configuração.

Erro de descriptografia | Acesso negado

Se seus Registros contenham mensagens de erro semelhantes às mostradas abaixo

... então provavelmente é um bug do software TPM nas suas máquinas Windows. Mais informações sobre isso podem ser encontradas na documentação do SCEPman.

Se você vir algo assim nos seus Registros

... podem haver duas razões. Uma é que seu perfil WiFi está referenciando o certificado raiz errado para validação do servidor. Por favor, certifique-se de que seu perfil está configurado corretamente. Se estiver e você ainda estiver enfrentando esse problema, tente definir seu KSP para KSP de Software.

Não é possível continuar, pois o par está se comportando mal

Se seus Registros contêm rejeições com o erro "Não é possível continuar, pois o par está se comportando mal" isso indica que o cliente parou de comunicar com o serviço RADIUS, na maioria das vezes porque as configurações de confiança estão incorretas. Neste caso, por favor verifique os certificados nos dispositivos afetados.

Segredo compartilhado RADIUS incorreto

Se seu (proxy) Registros contenham mensagens de erro semelhantes às mostradas abaixo

então um dos seus pontos de acesso ou switches que está tentando conectar à sua instância RADIUSaaS via um Proxy RADIUS está usando um Segredo Compartilhado.

Para identificar o ponto de acesso ou switch afetado, primeiro determine o proxy RADIUS expandindo a mensagem de erro e procurando pela propriedade proxyip Agora que você sabe o proxy, use seu inventário e conhecimento de locais específicos ou grupos de dispositivos que não conseguem conectar à sua rede para identificar o dispositivo de rede mal configurado. Finalmente, atualize o segredo compartilhado para corresponder ao valor configurado na sua instância RADIUSaaS para esse proxy.

Problemas de certificado

A cadeia de certificados não pôde ser verificada

Quando você quer usar seu próprio certificado de servidor, seu servidor RADIUS requer a cadeia completa de certificados para permitir que outros participantes (Proxy, clientes RadSec, endpoints que tentam conectar) verifiquem a identidade do servidor. Se você vê esta mensagem, copie e cole o certificado CA abaixo do certificado do servidor no campo de texto ou crie um pacote PKCS8 que inclua todos os certificados da entidade principal até a raiz.

Problemas do Portal de Administração

Login

Para entrar no portal web RADIUSaaS ("Portal de Administração RADIUSaaS"), os seguintes requisitos devem ser atendidos:

• O UPN/endereço de e-mail que você forneceu como administrador técnico precisa ser autenticável contra algum Microsoft Entra ID (Azure AD) (não precisa ser uma identidade do locatário cujos usuários usarão o RADIUSaaS para autenticação de rede).

• O UPN/endereço de e-mail que você forneceu como administrador técnico deve ter sido registrado na sua instância RADIUSaaS conforme descrito aqui. Caso seja o administrador inicial, por favor contate-nos se você acreditar que registramos o usuário errado.

• O objeto de usuário do Microsoft Entra ID (Azure AD) por trás do UPN/endereço de e-mail precisa estar autorizado a conceder ao Aplicativo Empresarial RADIUSaaS as seguintes permissões (veja a captura de tela abaixo):

  • Ler o Perfil Básico do Usuário

  • Manter acesso a dados aos quais você deu acesso (permitir solicitação de token de atualização)

• Caso seu usuário do Microsoft Entra ID (Azure AD) não tenha direitos para conceder as permissões requeridas, nenhum Aplicativo Empresarial correspondente será criado automaticamente no seu Microsoft Entra ID (Azure AD). Para contornar isso, peça ao seu departamento de TI para conceder ao seu usuário as permissões necessárias.

Problemas de configuração do Intune

Atribuição de perfil

A configuração Wi-Fi não é implantada se os perfis Wi-Fi, SCEP e de certificado confiável forem atribuídos a grupos diferentes. Eles podem aparecer como "Pendente" ou não haver status algum. Por favor, use o mesmo grupo ou "Todos os dispositivos" resp. "Todos os usuários" para todos os perfis vinculados.

Você pode atribuir o perfil de certificado raiz SCEP tanto a "Todos os usuários" quanto a "Todos os dispositivos" se você tiver um certificado de dispositivo (atribuído a "Todos os dispositivos") e um certificado de usuário (atribuído a "Todos os usuários") em uso.

Certificado SCEP

Android

Parece que o Android exige um UPN no Subject Alternative Name em versões mais recentes (mesmo para certificados de dispositivo). Por favor, adicione isto no seu perfil SCEP (por exemplo {{DeviceId}}@contoso.com):

Perfil Wi-Fi

Android

Códigos de erro comuns: 0xc7d24fc5 ou -942518331

Pontos-chave são:

• selecione o certificado Root CA para validação do servidor (importante: não envie o certificado do servidor do RADIUSaaS) - e -

• defina um nome do servidor radius

  • Nota: Parece haver um limite de caracteres para este campo. Para resolver possíveis problemas, você pode usar apenas a parte de domínio sem o subdomínio como "radius-as-a-service.com" (em vez de "contoso.radius-as-a-service.com").

  • Desenvolvedores Android afirma: "[...] deve configurar tanto um certificado Root CA, e ou um domínio sufixo correspondente ou uma correspondência alternativa de assunto". Então, o MDM pode usar "setAltSubjectMatch" ou "setDomainSuffixMatch" após adicionar um certificado raiz à configuração Wi-Fi. O Intune parece usar "setDomainSuffixMatch" já que apenas "radius-as-a-service.com" é suficiente.

• às vezes privacidade de identidade é necessária (por exemplo, visto em dispositivos quiosque Android / Android Enterprise dedicado)