# Resolução de Problemas

## Problemas de ligação

### Vista do cliente

#### XML incorreto&#x20;

{% hint style="warning" %}
Não é possível ligar porque precisa de um certificado para iniciar sessão. Contacte a pessoa de apoio de TI.
{% endhint %}

![](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/k8FhkMHpqVOne7UXpLzC/image.png)

Verifique se o seu cliente tem um certificado para autenticação e se está a utilizar o correto [perfil de configuração WiFi](https://docs.radiusaas.com/pt/implementacao-de-perfil/microsoft-intune/wifi-profile) ou [XML](https://docs.radiusaas.com/pt/portal-de-administracao/settings/trusted-roots#xml).

#### Problemas com a raiz de confiança&#x20;

{% hint style="warning" %}
Não é possível ligar a esta rede.
{% endhint %}

![](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/g3XbpcPNSLDJPrr96nYr/image.png)

Verifique se fez o seguinte:&#x20;

* Informou o seu Servidor RADIUS sobre quais certificados estão autorizados a ligar, conforme descrito [aqui](https://docs.radiusaas.com/pt/portal-de-administracao/settings/trusted-roots#add)
* Importou o certificado ativo do Servidor RADIUS como raiz de confiança no seu cliente, conforme descrito [aqui](https://docs.radiusaas.com/pt/implementacao-de-perfil/microsoft-intune/trusted-root#to-add-a-trusted-root-profile-for-your-clients)
* Verifique os seus [Registos](https://docs.radiusaas.com/pt/portal-de-administracao/insights/log#logs). Há uma descrição detalhada do erro. Talvez seja um problema de [este](#fatal-decrypt-error) .

#### Continuar a ligar?

{% hint style="warning" %}
Continuar a ligar? \
Se espera encontrar o Corporate WiFi nesta localização, avance e ligue-se. Caso contrário, pode ser outra rede com o mesmo nome.&#x20;

Mostrar detalhes do certificado.
{% endhint %}

Se os seus clientes precisarem de verificar ao ligar pela primeira vez e estiver a ver esta caixa de diálogo:

![](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/8uYG1oXtvKS2IJkLbQyL/image.png)

Certifique-se de que referenciou o certificado do servidor RADIUS no seu perfil WiFi e forneceu o atributo SAN (FQDN) e o nome comum (CN) do certificado do servidor:

<figure><img src="https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FnGm2WIeddAuswGilqRcF%2Fimage.png?alt=media&#x26;token=a5186af0-375c-4fc7-a2fe-24741adf14d7" alt=""><figcaption><p>A mostrar o atributo SAN (FQDN) e o nome comum (CN) do certificado do servidor</p></figcaption></figure>

### Vista do servidor

#### CA desconhecida

Se os seus [Registos](https://docs.radiusaas.com/pt/portal-de-administracao/insights/log#logs) contiverem mensagens de erro semelhantes às mostradas abaixo

```
ERRO: (14872) eap_tls: ERRO: SSL diz erro 20 : não é possível obter o certificado emissor local
ERRO: (14872) eap_tls: ERRO: TLS Alert write:fatal:unknown CA
Erro: tls: TLS_accept: Erro no erro
Autenticação: (14872) Início de sessão incorreto (eap_tls: SSL diz erro 20 : não é possível obter o certificado emissor local): [host/8dc38402-20fb-41db-a8f3-4e4e95637173/<via Auth-Type = eap>] (do cliente contoso porta 1 cli 18-9K-EA-0H-7F-C5)
```

pode ter as seguintes causas raiz:&#x20;

* O cliente devolve erro `TLS Alert read:fatal:unknown CA`
  * O seu cliente não conhece o **certificado do servidor** e rejeita a ligação. Verifique se adicionou o seu **certificado do servidor** conforme descrito [aqui](https://docs.radiusaas.com/pt/implementacao-de-perfil/microsoft-intune/trusted-root#adding-a-trusted-root-profile-for-your-clients).
  * Alterou/adicionou um novo **certificado do servidor** e o seu perfil XML no cliente está a usar o antigo. Nesse caso, verifique novamente se atualizou o seu perfil WiFi/Com fios ou se regenerou o seu [XML](https://docs.radiusaas.com/pt/portal-de-administracao/settings/trusted-roots#xml) depois de adicionar os certificados e o enviou para os seus clientes.&#x20;
* O servidor devolve erro `TLS Alert write:fatal:unknown CA`
  * O seu servidor RADIUS não conhece o emissor do certificado que foi utilizado para autenticação. Adicione a sua CA conforme descrito [aqui](https://docs.radiusaas.com/pt/portal-de-administracao/settings/trusted-roots#add).

#### Certificado desconhecido

Se usar macOS (e possivelmente outras plataformas Apple) e se os seus [Registos](https://docs.radiusaas.com/pt/portal-de-administracao/insights/log#logs) contiverem mensagens de erro semelhantes à mostrada abaixo

```
eap_tls: (TLS) TLS - Alert read:fatal:certificate unknown
```

pode ter as seguintes causas raiz:

* Há um caráter de espaço algures no **Nome do servidor do certificado** no seu [WiFi](https://docs.radiusaas.com/pt/implementacao-de-perfil/microsoft-intune/wifi-profile/apple-devices) ou [Com fios](https://docs.radiusaas.com/pt/implementacao-de-perfil/microsoft-intune/wired-profile/mac) perfil de configuração.

#### Erro de desencriptação | Acesso negado

Se os seus [Registos](https://docs.radiusaas.com/pt/portal-de-administracao/insights/log#logs) contiverem mensagens de erro semelhantes às mostradas abaixo

```
Autenticação: (312) Início de sessão incorreto (eap_tls: TLS Alert write:fatal:decrypt error): [host/00128t09-cbna-469c-9768-2783d28eikl9/<via Auth-Type = eap>] (do cliente contoso porta 1 cli 84-FD-D1-8C-0E-33)
ERRO: (320) eap_tls: ERRO: TLS Alert write:fatal:decrypt error
Erro: tls: TLS_accept: Erro no erro
```

... então é provavelmente um bug do software TPM nas suas máquinas Windows. Pode encontrar mais informações sobre isso na [documentação do SCEPman](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#key-storage-provider-ksp-enroll-to-trusted-platform-module-tpm-ksp-otherwise-fail).

Se vir algo assim nos seus [Registos](https://docs.radiusaas.com/pt/portal-de-administracao/insights/log#logs)

```
ERRO: (95878) eap_tls: ERRO: (TLS) Alert read:fatal:access denied
Autenticação: (95878) Início de sessão incorreto (eap_tls: (TLS) Alert read:fatal:access denied): [host/kad933-161d-4aa8-aeaa-b5a4d3d53b12]
ERRO: (95717) eap_tls: ERRO: (TLS) Alert read:fatal:access denied
```

... pode haver duas razões. Uma é que o seu perfil WiFi está a referenciar o certificado raiz errado para validação do servidor. Certifique-se de que o seu perfil está configurado corretamente. Se estiver e ainda assim continuar a enfrentar este problema, tente definir o seu KSP como [**Software KSP**](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#key-storage-provider-ksp-enroll-to-trusted-platform-module-tpm-ksp-otherwise-fail).&#x20;

{% hint style="warning" %}
A definição Key Storage Provider (KSP) determina a localização de armazenamento da chave privada para os certificados do utilizador final. O armazenamento no TPM é mais seguro do que o armazenamento em software, porque o TPM fornece uma camada adicional de segurança para evitar o roubo da chave. No entanto, existe **um bug em algumas versões mais antigas do firmware TPM** que invalida algumas assinaturas criadas com uma chave privada suportada por TPM. Nesses casos, o certificado não pode ser utilizado para autenticação EAP, como é comum nas ligações Wi-Fi e VPN. As versões de firmware TPM afetadas incluem:

* STMicroelectronics: 71.12, 73.4.17568.4452, 71.12.17568.4100
* Intel: 11.8.50.3399, 2.0.0.2060
* Infineon: 7.63.3353.0
* IFX: Versão 3.19 / Especificação 1.2

Se usar TPM com este firmware, atualize o firmware para uma versão mais recente ou selecione "Software KSP" como fornecedor de armazenamento de chaves.
{% endhint %}

#### Não é possível continuar, porque o peer está a comportar-se de forma incorreta

Se os seus Registos contiverem rejeições com o erro *"Não é possível continuar, porque o peer está a comportar-se de forma incorreta"*  isto indica que o cliente parou de comunicar com o serviço RADIUS, na maioria das vezes porque as definições de confiança estão incorretas. Neste caso, verifique os certificados nos dispositivos afetados.

#### Segredo RADIUS partilhado incorreto

Se o seu (proxy) [Registos](https://docs.radiusaas.com/pt/portal-de-administracao/insights/log#logs) contiverem mensagens de erro semelhantes às mostradas abaixo

```
- autenticação de mensagem, valor incorreto
- buf2radmsg: falha na autenticação da mensagem
- radsrv: a ignorar pedido de default (8.222.246.231), validação falhou
```

então um dos seus pontos de acesso ou switches que está a tentar ligar à sua instância RADIUSaaS através de um [Proxy RADIUS](https://docs.radiusaas.com/pt/portal-de-administracao/settings/settings-proxy) está a usar um [Segredo partilhado](https://docs.radiusaas.com/pt/portal-de-administracao/settings/settings-server#properties-1).

Para identificar o ponto de acesso ou switch afetado, primeiro determine o proxy RADIUS expandindo a mensagem de erro e procurando a `proxyip` propriedade. Agora que conhece o proxy, use o seu inventário e o conhecimento de localizações específicas ou grupos de dispositivos que não conseguem ligar-se à sua rede para identificar o dispositivo de rede mal configurado. Por fim, atualize o segredo partilhado para corresponder ao valor configurado na sua instância RADIUSaaS para esse proxy.

## Problemas de certificado

### A cadeia de certificados não pôde ser verificada

<figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/4S5eHRu1C0h4kGOUJlzl/image.png" alt=""><figcaption></figcaption></figure>

Quando quer usar o seu próprio certificado de servidor, o seu servidor RADIUS requer a cadeia completa de certificados para permitir que outros participantes (Proxy, clientes RadSec, endpoints que tentam ligar-se) verifiquem a identidade do servidor.  \
Se vir esta mensagem, copie e cole o certificado CA abaixo do certificado do servidor no campo de texto ou crie um pacote de certificados PCKS8 que inclua todos os certificados desde a folha até à raiz.

## Problemas do Portal de Administração

### Iniciar sessão

Para iniciar sessão no portal web RADIUSaaS ("RADIUSaas Admin Portal"), têm de ser cumpridos os seguintes requisitos:

* O UPN/endereço de e-mail que forneceu como administrador técnico tem de ser autenticável contra **algum** Microsoft Entra ID (Azure AD) (não tem de ser uma identidade do tenant cujos utilizadores irão utilizar o RADIUSaaS para autenticação de rede).
* O UPN/endereço de e-mail que forneceu como administrador técnico tem de ter sido registado na sua instância RADIUSaaS conforme descrito [aqui](https://docs.radiusaas.com/pt/portal-de-administracao/settings/permissions). No caso de ser o administrador inicial, por favor [contacte-nos](https://www.radius-as-a-service.com/help/) se acredita que registámos o utilizador errado.
* O objeto de utilizador Microsoft Entra ID (Azure AD) por trás do UPN/endereço de e-mail tem de estar autorizado a conceder à Enterprise Application RADIUSaaS as seguintes permissões (ver captura de ecrã abaixo):
  * **Ler** o Perfil de Utilizador Básico
  * **Manter** acesso aos dados aos quais lhe concedeu acesso (permitir o pedido de token de atualização)\
    ![](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/zBRh87CJ75R1N8hz7mZF/Screenshot_2022-04-11_at_09_31_26.png)
* Caso o seu utilizador Microsoft Entra ID (Azure AD) não tenha direitos para conceder as permissões necessárias, não será criada automaticamente qualquer **Enterprise Application** correspondente no seu Microsoft Entra ID (Azure AD). Para contornar isto, peça ao seu departamento de TI que conceda ao seu utilizador as permissões necessárias.

## Problemas de configuração do Intune

### Atribuição de perfil

A configuração Wi-Fi não é implementada se os perfis Wi-Fi, SCEP e certificado de confiança forem atribuídos a grupos diferentes. Podem aparecer como "Pendente" ou pode não haver qualquer estado. Utilize o **mesmo grupo ou "Todos os dispositivos" resp. "Todos os utilizadores"** para **todos os perfis associados**.

Pode atribuir o perfil de certificado raiz SCEP a "Todos os utilizadores" e a "Todos os dispositivos" se estiver a usar um certificado de dispositivo (atribuído a "Todos os dispositivos") e um certificado de utilizador (atribuído a "Todos os utilizadores").

### Certificado SCEP

#### Android

O Android parece exigir um UPN no nome alternativo do sujeito nas versões mais recentes (mesmo para certificados de dispositivo). Adicione isto no seu perfil SCEP (por exemplo, {{DeviceId}}@contoso.com):

<figure><img src="https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FvzOjRbRuXtYp866efU2w%2Fimage.png?alt=media&#x26;token=9180ae03-2a52-4dbc-b2f8-cba97afb8af7" alt=""><figcaption></figcaption></figure>

### Perfil Wi-Fi

#### Android

Códigos de erro comuns: 0xc7d24fc5 ou -942518331

Os pontos-chave são:

* selecione o **certificado da CA raiz** para **validação do servidor** (importante: não carregue o certificado de servidor do RADIUSaaS)\
  \&#xNAN;**- e -**
* defina um **nome do servidor radius**
  * Nota: Parece haver um limite de caracteres para este campo. Para resolver possíveis problemas, pode usar apenas a parte do domínio sem subdomínio, como "radius-as-a-service.com" (em vez de "contoso.radius-as-a-service.com").
  * [Programadores Android](https://developer.android.com/guide/topics/connectivity/wifi-enterprise) afirma: "\[...] deve configurar **tanto um certificado CA raiz**, e também um **correspondência de sufixo de domínio** ou uma correspondência de sujeito alternativo". Assim, o MDM pode usar "setAltSubjectMatch" ou "setDomainSuffixMatch" depois de adicionar um certificado raiz à configuração Wi-Fi. O Intune parece usar "setDomainSuffixMatch", uma vez que apenas "radius-as-a-service.com" é suficiente.
* por vezes **privacidade da identidade** é necessária (por exemplo, visto em dispositivos quiosque Android / Android Enterprise dedicado)