Hardware Upgrade Forum - View Single Post

aledevasto · 15-03-2007, 14:30

SOLUZIONE:WM5 E PROBLEMA DI CONNESSIONE WPA2 AES PEAP!!!

by V4N3X

Ciao di nuovo a tutti. Pubblico questa guida per tutti coloro i quali utilizzino i palmari in maniera seria, per lavoro, e non solo per stare appresso alle varie suonerie e aggiornamenti vari delle ROM.

PROBLEMA: l'utente "user" vuole collegarsi alla rete "WF", con dominio "domain.com", la quale è protetta dal protocollo WPA2 con crittografia AES e PEAP. Una volta digitato il nome utente "user@domain.com" e la password, WM5 rifiuta il collegamento dicendo o che il server non ha rilasciato un certificato valido, oppure, nel caso in cui abbiate un certificato, che il certificato rilasciato dal server risulta da una fonte sconosciuta.
Il tutto deriva dall'impossibilità di bypassare il controllo dei certificati su WM5, cosa che invece è possibile in WinXP.

SOLUZIONE: la soluzione è piuttosto laboriosa, e richiede alcuni piccoli "hack" del sistema, comunque fattibili, se si ha una certa praticità di networking e sistemi. Necessitiamo principalmente di 2 cose: 1)un account di Administrator su un sistema Win2k Server/Win 2k3 Server, o di un sistema Linux ; 2) il programma gratuito P12imprt.exe, disponibile all'indirizzo http://www.jacco2.dds.nl/networking/pfximprt.html.
STEP1: illudiamo WM5 di aver ricevuto un certificato attendibile, anche perche senza certificato alcune chiavi di sistema non hanno effetto, per cui abbiamo bisogno di una CA (Certification Authority) a nostra disposizione. Su Linux esistono diverse utility free per fare ciò, ma io ho preferito atteneri agli standard, per cui ho usato la CA di Win2k3 Server Enterprise. Si installano quindi i servizi certificati di Windows, si abilitano le pagine ASP sul server, quindi sul sito web di default si abilita la protezione di Active Directory.
Da un PC in rete, ci si collega alla macchina Win2k3 digitando http://indirizzoserver/certsrv; dopo essersi loggati, ci si trova nella pagina di richiesta dei certificati: selezionare la richiesta di un nuovo certificato, quindi la richiesta avanzata, e a questo punto ci troviamo davanti ad un form da compilare.
Inseriremo come nome, il nome dell'utente che deve loggarsi, quindi "user@domain.com", come associazione "domain.com", è importante selezionare il metodo di crittaggio AES, la generazione di nuove chiavi, che vanno flaggate come "esportabili" e la lunghezza delle chiavi, di 1024 bit.
E' importante inoltre, che al momento dell'installazione la CA stessa venga chiamata come il dominio in cui loggarsi, quindi la nostra CA si chiamerà "domain.com".
Compilato il form, inviamo la richiesta, e sulla shell di controllo della CA, alla voce "richieste in sospeso", si troverà la richiesta appena effettuata.
emettiamo quindi il certificato, e ci ricolleghiamo dal PC alla stessa pagina http://indirizzoserver/certsrv: se visioniamo le richieste, il nostro certificato risulterà emesso. Installiamo dunque sul PC questo certificato. Trascurate pure tutti gli avvisi che riceverete: la CA è vostra, quindi assolutamente "trusted".
A questo punto, in Internet Explorer, alla voce Opzioni Internet>Contenuto>Certificati, nella scheda Personale dovrebbe essere presente il nostro certificato: esportiamo il certificato in formato .p12, specificando di esportare anche le chiavi, e di includere tutti i certificati nello stesso percorso. Specifichiamo directory dell'esportazione e nome file, e a questo punto il certificato è pronto.

STEP2: prepariamo WM5. Trasferiamo il certificato in una directory di comodo sul PPC, assieme a P12imprt.exe. Questo programma, NON E' UN ESEGUIBILE PER WIN32, MA SOLO PER WM5, quindi non tentate di eseguirlo su XP.
Da File Explorer, tappate su P12imprt, ed il programma verrà eseguito SENZA INSTALLAZIONE. Il programma è configurato per cercare il file .p12 in MyDocuments, ma dal tasto Browse potete recuperarlo ovunque esso sia. Selezionate il file, inserite la password immessa al momento dell'esportazione, quindi SENZA PREMERE ENTER dalla tastiera, cliccate sul tasto di importazione. Dovrebbe comparire un avvertimento dell'importazione di 1 certificato personale, e uno di root, entrambi visibili da Start>Impostazioni>Sistema>Certificati.
Questo farà credere a WM5, di aver ricevuto un certificato attendibile.
A questo punto, abbiamo bisogno di editare il registro di WM5: ognuno scelga il suo editor (io uso Resco), per inserire una chiave di registro.
Portiamoci in H_K_L_M\Comm\EAP\Extension\25\, e inseriamo il nuovo valore DWORD "ValidateServerCert", che assegnamo come "000000" (HEX).
Questo forzerà WM5 ad accettare comunque come valido il fantomatico certificato fornito dal server.
Resettiamo il PPC, quindi avviamo il WiFi, e la connessione alla rete; selezioniamo il protocollo WPA2 AES, quindi il metodo PEAP, e dal tasto "proprietà" selezioniamo il certificato importato. Dovrebbe comparire il prompt per il login, che, senza altri indugi, dovrebbe permettervi di accedere finalmente alla rete.
Spero di essere stato abbastanza chiaro, e utile, per coloro i quali considerino i palmari come qualcosa di più che semplici gadget,o lettori multimediali sofisticati. Per i chiarimenti potete sempre farvi avanti.
P.S. In alcuni casi, il metodo risulta efficace anche senza l'inserimento del certificato, ma solo operando la modifica al registro. Inutile dire che non posso essere a conoscenza di tutta la casistica, quindi fate delle prove.
In ogni caso, queste modifiche al registro non sono affatto radicali, o dannose; ricordate sempre di resettare il PPC, dopo aver fatto la modifica al registro. In questo momento non mi viene in mente altro. Modificherò eventualmente quanto detto, dopo ulteriori e opportuni test su stabilità/velocità.
Postate , se il metodo funziona anche per voi.
Ciao e a presto.

Per approfondire: link al thread

15-03-2007, 14:30	#15
aledevasto Senior Member Iscritto dal: May 2003 Città: Milano est Messaggi: 4339	SOLUZIONE:WM5 E PROBLEMA DI CONNESSIONE WPA2 AES PEAP!!! by V4N3X Ciao di nuovo a tutti. Pubblico questa guida per tutti coloro i quali utilizzino i palmari in maniera seria, per lavoro, e non solo per stare appresso alle varie suonerie e aggiornamenti vari delle ROM. PROBLEMA: l'utente "user" vuole collegarsi alla rete "WF", con dominio "domain.com", la quale è protetta dal protocollo WPA2 con crittografia AES e PEAP. Una volta digitato il nome utente "user@domain.com" e la password, WM5 rifiuta il collegamento dicendo o che il server non ha rilasciato un certificato valido, oppure, nel caso in cui abbiate un certificato, che il certificato rilasciato dal server risulta da una fonte sconosciuta. Il tutto deriva dall'impossibilità di bypassare il controllo dei certificati su WM5, cosa che invece è possibile in WinXP. SOLUZIONE: la soluzione è piuttosto laboriosa, e richiede alcuni piccoli "hack" del sistema, comunque fattibili, se si ha una certa praticità di networking e sistemi. Necessitiamo principalmente di 2 cose: 1)un account di Administrator su un sistema Win2k Server/Win 2k3 Server, o di un sistema Linux ; 2) il programma gratuito P12imprt.exe, disponibile all'indirizzo http://www.jacco2.dds.nl/networking/pfximprt.html. STEP1: illudiamo WM5 di aver ricevuto un certificato attendibile, anche perche senza certificato alcune chiavi di sistema non hanno effetto, per cui abbiamo bisogno di una CA (Certification Authority) a nostra disposizione. Su Linux esistono diverse utility free per fare ciò, ma io ho preferito atteneri agli standard, per cui ho usato la CA di Win2k3 Server Enterprise. Si installano quindi i servizi certificati di Windows, si abilitano le pagine ASP sul server, quindi sul sito web di default si abilita la protezione di Active Directory. Da un PC in rete, ci si collega alla macchina Win2k3 digitando http://indirizzoserver/certsrv; dopo essersi loggati, ci si trova nella pagina di richiesta dei certificati: selezionare la richiesta di un nuovo certificato, quindi la richiesta avanzata, e a questo punto ci troviamo davanti ad un form da compilare. Inseriremo come nome, il nome dell'utente che deve loggarsi, quindi "user@domain.com", come associazione "domain.com", è importante selezionare il metodo di crittaggio AES, la generazione di nuove chiavi, che vanno flaggate come "esportabili" e la lunghezza delle chiavi, di 1024 bit. E' importante inoltre, che al momento dell'installazione la CA stessa venga chiamata come il dominio in cui loggarsi, quindi la nostra CA si chiamerà "domain.com". Compilato il form, inviamo la richiesta, e sulla shell di controllo della CA, alla voce "richieste in sospeso", si troverà la richiesta appena effettuata. emettiamo quindi il certificato, e ci ricolleghiamo dal PC alla stessa pagina http://indirizzoserver/certsrv: se visioniamo le richieste, il nostro certificato risulterà emesso. Installiamo dunque sul PC questo certificato. Trascurate pure tutti gli avvisi che riceverete: la CA è vostra, quindi assolutamente "trusted". A questo punto, in Internet Explorer, alla voce Opzioni Internet>Contenuto>Certificati, nella scheda Personale dovrebbe essere presente il nostro certificato: esportiamo il certificato in formato .p12, specificando di esportare anche le chiavi, e di includere tutti i certificati nello stesso percorso. Specifichiamo directory dell'esportazione e nome file, e a questo punto il certificato è pronto. STEP2: prepariamo WM5. Trasferiamo il certificato in una directory di comodo sul PPC, assieme a P12imprt.exe. Questo programma, NON E' UN ESEGUIBILE PER WIN32, MA SOLO PER WM5, quindi non tentate di eseguirlo su XP. Da File Explorer, tappate su P12imprt, ed il programma verrà eseguito SENZA INSTALLAZIONE. Il programma è configurato per cercare il file .p12 in MyDocuments, ma dal tasto Browse potete recuperarlo ovunque esso sia. Selezionate il file, inserite la password immessa al momento dell'esportazione, quindi SENZA PREMERE ENTER dalla tastiera, cliccate sul tasto di importazione. Dovrebbe comparire un avvertimento dell'importazione di 1 certificato personale, e uno di root, entrambi visibili da Start>Impostazioni>Sistema>Certificati. Questo farà credere a WM5, di aver ricevuto un certificato attendibile. A questo punto, abbiamo bisogno di editare il registro di WM5: ognuno scelga il suo editor (io uso Resco), per inserire una chiave di registro. Portiamoci in H_K_L_M\Comm\EAP\Extension\25\, e inseriamo il nuovo valore DWORD "ValidateServerCert", che assegnamo come "000000" (HEX). Questo forzerà WM5 ad accettare comunque come valido il fantomatico certificato fornito dal server. Resettiamo il PPC, quindi avviamo il WiFi, e la connessione alla rete; selezioniamo il protocollo WPA2 AES, quindi il metodo PEAP, e dal tasto "proprietà" selezioniamo il certificato importato. Dovrebbe comparire il prompt per il login, che, senza altri indugi, dovrebbe permettervi di accedere finalmente alla rete. Spero di essere stato abbastanza chiaro, e utile, per coloro i quali considerino i palmari come qualcosa di più che semplici gadget,o lettori multimediali sofisticati. Per i chiarimenti potete sempre farvi avanti. P.S. In alcuni casi, il metodo risulta efficace anche senza l'inserimento del certificato, ma solo operando la modifica al registro. Inutile dire che non posso essere a conoscenza di tutta la casistica, quindi fate delle prove. In ogni caso, queste modifiche al registro non sono affatto radicali, o dannose; ricordate sempre di resettare il PPC, dopo aver fatto la modifica al registro. In questo momento non mi viene in mente altro. Modificherò eventualmente quanto detto, dopo ulteriori e opportuni test su stabilità/velocità. Postate , se il metodo funziona anche per voi. Ciao e a presto. Per approfondire: link al thread __________________ "Credo che loro ormai si sentano (e lo auguro a tutti)... Cittadini del mondo." ...Una stella si è spenta nel cielo... Upgrade hardware iPAQ 1930 -> 1940 S3C2410 @ 266 MHz; nokia e50 s60 v3 9.1; nokia e63 s60 v3 9.2; GPS BT SirfIII Ubuntu 8.04 addicted! Tasto *CERCA* e *FAQ, questi sconosciuti!!! Sardi a me!* Ultima modifica di aledevasto : 15-03-2007 alle 14:36.