<div dir="ltr"><div class="gmail_default" style="font-size:small">I am running into an issue with Google enforcing the use of a publicly signed certificate for 802.11 auth. I have searched high and low but cannot find anything to help me with the nuts and bolts of making this work. I have a fully functioning Freeradius server on CentOS providing MSCHAP-PEAP auth for our BYOD phones. It works fine, except for the new Pixels with the December Pixel update, and I expect more to follow, so trying to get it working before all my users start complaining.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">The problem is described here:</div><div class="gmail_default" style="font-size:small"><div class="gmail_default"><a href="https://www.xda-developers.com/android-11-break-enterprise-wifi-connection/">https://www.xda-developers.com/android-11-break-enterprise-wifi-connection/</a></div></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I have purchased a publicly signed cert from godaddy for this purpose but cannot figure out how to implement it. It's made all the more confusing to me when the Freeradius documentation itself suggests:</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"> #  Note that you should NOT use a globally known CA here!<br>       #  e.g. using a Verisign cert as a "known CA" means that<br>   #  ANYONE who has a certificate signed by them can<br>   #  authenticate via EAP-TLS!  This is likely not what you want.<br></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">and also:</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">#  In general, you should use self-signed<br>                #  certificates for 802.1x (EAP) authentication.<br></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Can anyone shed some light on how to proceed. It seems I have no choice but to use a publicly signed certificate to Android 11 on the Pixel to work with Freeradius. But I'm at a loss as to how to switch from the current private cert to the Godaddy one.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I've tried dumping the godaddy certificate on the server and changing the references in the eap conf file, but clearly it's not that simple.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I have read these, but am too dumb to use them to move forward in Freeradius:</div><div class="gmail_default" style="font-size:small"><a href="https://www.reddit.com/r/homelab/comments/l4fdzp/android_11_wifi_eaptls_trusted_ca_not_working/">https://www.reddit.com/r/homelab/comments/l4fdzp/android_11_wifi_eaptls_trusted_ca_not_working/</a><br></div><div class="gmail_default" style="font-size:small"><a href="https://old.reddit.com/r/networking/comments/lbdafp/8021x_ise_android_11_problem/">https://old.reddit.com/r/networking/comments/lbdafp/8021x_ise_android_11_problem/</a><br></div><div class="gmail_default" style="font-size:small"><a href="https://android.stackexchange.com/questions/233405/android-11-does-not-trust-a-theoretically-properly-imported-private-ca-for-wifi">https://android.stackexchange.com/questions/233405/android-11-does-not-trust-a-theoretically-properly-imported-private-ca-for-wifi</a><br></div><div class="gmail_default" style="font-size:small"><a href="https://www.reddit.com/r/homelab/comments/l4fdzp/android_11_wifi_eaptls_trusted_ca_not_working/">https://www.reddit.com/r/homelab/comments/l4fdzp/android_11_wifi_eaptls_trusted_ca_not_working/</a></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">cheers</div><div class="gmail_default" style="font-size:small">ed</div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>

<br>
<span style="font-family:arial"><font size="2">MADSEN, KNEPPERS & ASSOCIATES USA WARNING/CONFIDENTIALITY NOTICE: This message may be confidential and/or privileged. If you are not the intended recipient, please notify the sender immediately then delete it - you should not copy or use it for any purpose or disclose its content to any other person. Internet communications are not secure. You should scan this message and any attachments for viruses. Any unauthorized use or interception of this e-mail is illegal.</font></span>