Links

Aviso - Android S.O

Algumas versões mais recentes do Android não oferecem mais aos usuários a opção de desativar a validação do certificado do servidor, que era apresentado durante a autenticação EAP. Isso gerou dificuldades para alguns usuários, uma vez que as instituições que utilizam certificados auto-assinados, precisam encontrar uma solução para distribuir o certificado raiz aos dispositivos dos usuários e obterem os dispositivos devidamente configurados para verificar o certificado.
No caso do eduroam, isso pode ser resolvido de forma simples utilizando o CAT eduroam, conforme orientações abaixo.

Como mitigar o problema?

Existem três formas possíveis, recomendamos que sigam prioritariamente com a primeira opção, utilizando o aplicativo "geteduroam", pois possui melhor usabilidade e permite maior segurança.

1 - Configuração via aplicativo "geteduroam":

A instituição deve configurar o perfil no CAT eduroam e solicitar que o usuário baixe o aplicativo "geteduroam" da SURF Cooperative. Esta opção permite que o certificado da AC (Autoridade Certificadora) seja distribuído nos dispositivos dos usuários, sem que haja necessidade de instalações manuais.
O aplicativo do geteduroam se mostrou incompatível com alguns aparelho que possuem o Android 13.
Se a sua instituição ainda não tem acesso ao CAT eduroam, entre em contato com a nossa equipe de atendimento.
OBS: Caso o app geteduroam não funcione no Android 11, o aplicativo CAT eduroam, pode ser usado como alternativa de conectividade.

2 - Utilizando um certificado válido:

Conforme informado, a falha de autenticação ocorre devido ao uso de certificado auto-assinado, que não é reconhecido por padrão pelos dispositivos. Nesta opção, a instituição poderá configurar um certificado válido no servidor Radius eduroam, podendo ser utilizado tanto certificado da ICPEdu, como qualquer outro certificado válido que a instituição tenha acesso.

3 - Configuração manual:

Essa opção exige mais dos usuários e deve ser utilizada somente se os procedimentos anteriores não tiverem sido efetivos.
Antes de começar, remova qualquer configuração atual do eduroam. Vá para Configurações e, em seguida, Wi-Fi . Pressione e segure eduroam . Se a opção Esquecer rede ou similar for exibida, selecione-a e continue.
1 - Baixe no seu dispositivo o certificado da CA (Autoridade certificadora);
Obs.: O certificado abaixo deve ser utilizado apenas se seu servidor foi configurado com o certificado auto-assinado fornecido pela RNP.
rnp-ca.crt
1KB
Binary
Certificado CA - RNP
2 - Seu dispositivo perguntará se você deseja baixar o certificado. Escolha ' Baixar '.
Nesse ponto, pode ser que o dispositivo não dê a opção de instalar, desta forma terá que ser feito manualmente acessando: "Configurações" > "Senhas e seguranças" > "Privacidade" > "Criptografia e credenciais" > "Instalar um certificado" > "Certificado" > Selecione o certificado que acabou de baixar: rnp-ca.crt e pule para o passo 4.
3 - Na caixa de diálogo, escolha a opção "Abrir com instalador de certificado";
4 - Em seguida, você será solicitado a nomear o certificado e identificar como ele deve ser usado. No campo Nome do certificado , digite "RNP-CA" e escolha Wi-Fi na lista suspensa;
5 - Após instalar o certificado, acesse a rede eduroam completando as informações conforme abaixo:

Dispositivos Motorola

Para os casos de alguns dispositivos Motorola, solicite que o cliente utilize um certificado válido, e que o mesmo esteja apontado no arquivo EAP.
OBS: Alguns dispositivos ainda necessitam que o certificado seja instalado manualmente no aparelho. Exemplo de caminho para o certificado válido: mkdir /etc/freeradius/certs/icpedu Atualizar o caminho no arquivo EAP: vi /etc/freeradius/mods-enabled/eap tls-config tls-common { private_key_password = 'whatever' private_key_file = ${certdir}/icpedu/nome_server.key certificate_file = ${certdir}/icpedu/nome_serve.crt ca_file = ${cadir}/icpedu/certificado_raiz.crt ca_path = /etc/ssl/certs cipher_server_preference = no ecdh_curve = "prime256v1" cache { enable = no } verify { } ocsp { enable = no override_cert_url = yes url = "http://127.0.0.1/ocsp/" } }