SOLUZIONE:WM5 E PROBLEMA DI CONNESSIONE WPA2 AES PEAP!!!

[V4N3X]

Ciao di nuovo a tutti. Pubblico questa guida per tutti coloro i quali utilizzino i palmari in maniera seria, per lavoro, e non solo per stare appresso alle varie suonerie e aggiornamenti vari delle ROM.

PROBLEMA: l'utente "user" vuole collegarsi alla rete "WF", con dominio "domain.com", la quale è protetta dal protocollo WPA2 con crittografia AES e PEAP. Una volta digitato il nome utente "[email protected]" e la password, WM5 rifiuta il collegamento dicendo o che il server non ha rilasciato un certificato valido, oppure, nel caso in cui abbiate un certificato, che il certificato rilasciato dal server risulta da una fonte sconosciuta.
Il tutto deriva dall'impossibilità di bypassare il controllo dei certificati su WM5, cosa che invece è possibile in WinXP.

SOLUZIONE: la soluzione è piuttosto laboriosa, e richiede alcuni piccoli "hack" del sistema, comunque fattibili, se si ha una certa praticità di networking e sistemi. Necessitiamo principalmente di 2 cose: 1)un account di Administrator su un sistema Win2k Server/Win 2k3 Server, o di un sistema Linux ; 2) il programma gratuito P12imprt.exe, disponibile all'indirizzo http://www.jacco2.dds.nl/networking/pfximprt.html.
STEP1: illudiamo WM5 di aver ricevuto un certificato attendibile, anche perche senza certificato alcune chiavi di sistema non hanno effetto, per cui abbiamo bisogno di una CA (Certification Authority) a nostra disposizione. Su Linux esistono diverse utility free per fare ciò, ma io ho preferito atteneri agli standard, per cui ho usato la CA di Win2k3 Server Enterprise. Si installano quindi i servizi certificati di Windows, si abilitano le pagine ASP sul server, quindi sul sito web di default si abilita la protezione di Active Directory.
Da un PC in rete, ci si collega alla macchina Win2k3 digitando http://indirizzoserver/certsrv; dopo essersi loggati, ci si trova nella pagina di richiesta dei certificati: selezionare la richiesta di un nuovo certificato, quindi la richiesta avanzata, e a questo punto ci troviamo davanti ad un form da compilare.
Inseriremo come nome, il nome dell'utente che deve loggarsi, quindi "[email protected]", come associazione "domain.com", è importante selezionare il metodo di crittaggio AES, la generazione di nuove chiavi, che vanno flaggate come "esportabili" e la lunghezza delle chiavi, di 1024 bit.
E' importante inoltre, che al momento dell'installazione la CA stessa venga chiamata come il dominio in cui loggarsi, quindi la nostra CA si chiamerà "domain.com".
Compilato il form, inviamo la richiesta, e sulla shell di controllo della CA, alla voce "richieste in sospeso", si troverà la richiesta appena effettuata.
emettiamo quindi il certificato, e ci ricolleghiamo dal PC alla stessa pagina http://indirizzoserver/certsrv: se visioniamo le richieste, il nostro certificato risulterà emesso. Installiamo dunque sul PC questo certificato. Trascurate pure tutti gli avvisi che riceverete: la CA è vostra, quindi assolutamente "trusted".
A questo punto, in Internet Explorer, alla voce Opzioni Internet>Contenuto>Certificati, nella scheda Personale dovrebbe essere presente il nostro certificato: esportiamo il certificato in formato .p12, specificando di esportare anche le chiavi, e di includere tutti i certificati nello stesso percorso. Specifichiamo directory dell'esportazione e nome file, e a questo punto il certificato è pronto.

STEP2: prepariamo WM5. Trasferiamo il certificato in una directory di comodo sul PPC, assieme a P12imprt.exe. Questo programma, NON E' UN ESEGUIBILE PER WIN32, MA SOLO PER WM5, quindi non tentate di eseguirlo su XP.
Da File Explorer, tappate su P12imprt, ed il programma verrà eseguito SENZA INSTALLAZIONE. Il programma è configurato per cercare il file .p12 in MyDocuments, ma dal tasto Browse potete recuperarlo ovunque esso sia. Selezionate il file, inserite la password immessa al momento dell'esportazione, quindi SENZA PREMERE ENTER dalla tastiera, cliccate sul tasto di importazione. Dovrebbe comparire un avvertimento dell'importazione di 1 certificato personale, e uno di root, entrambi visibili da Start>Impostazioni>Sistema>Certificati.
Questo farà credere a WM5, di aver ricevuto un certificato attendibile.
A questo punto, abbiamo bisogno di editare il registro di WM5: ognuno scelga il suo editor (io uso Resco), per inserire una chiave di registro.
Portiamoci in H_K_L_M\Comm\EAP\Extension\25\, e inseriamo il nuovo valore DWORD "ValidateServerCert", che assegnamo come "000000" (HEX).
Questo forzerà WM5 ad accettare comunque come valido il fantomatico certificato fornito dal server.
Resettiamo il PPC, quindi avviamo il WiFi, e la connessione alla rete; selezioniamo il protocollo WPA2 AES, quindi il metodo PEAP, e dal tasto "proprietà" selezioniamo il certificato importato. Dovrebbe comparire il prompt per il login, che, senza altri indugi, dovrebbe permettervi di accedere finalmente alla rete.
Spero di essere stato abbastanza chiaro, e utile, per coloro i quali considerino i palmari come qualcosa di più che semplici gadget,o lettori multimediali sofisticati. Per i chiarimenti potete sempre farvi avanti.
P.S. In alcuni casi, il metodo risulta efficace anche senza l'inserimento del certificato, ma solo operando la modifica al registro. Inutile dire che non posso essere a conoscenza di tutta la casistica, quindi fate delle prove.
In ogni caso, queste modifiche al registro non sono affatto radicali, o dannose; ricordate sempre di resettare il PPC, dopo aver fatto la modifica al registro. In questo momento non mi viene in mente altro. Modificherò eventualmente quanto detto, dopo ulteriori e opportuni test su stabilità/velocità.
Postate , se il metodo funziona anche per voi.
Ciao e a presto.

[erikka69]

grande perfetto!!!!!!!!!!!!!!!!!

[aledevasto]

Aggiunto alle faq, gran bel lavoro

Sarebbe comunque opportuno sottolineare la difficoltà di seguire queste pratiche per chi non è molto esperto, sottolineando la necessità di farsi prima un backup (visto che si va a smanettare sul registro).

Se hai intenzione di modificare mandami pure un PM che cambio anche la faq!

E ripeto: gran bel lavoro!

Erikka69, sono questi thread che stimolano la nostra voglia di tecnologia, vero?

[V4N3X]

@ Erikka e Aldevasto: grazie mille.
In realtà ci sarebbero parecchie cose da sottolineare; diciamo che ho dato un pò per scontato che, chi avesse delle difficoltà di questo tipo, fosse mediamente pratico di alcune cose. Naturalmente sono pronto a fornire i chiarimenti dovuti, qualora ve ne fosse la richiesta.

[V4N3X]

AGGIORNAMENTO: in questo momento sto scrivendo dalla suddetta rete crittata WPA2 AES PEAP!!! Ho dimenticato di aggiungere che nel prompt di login compare anche la richiesta del dominio. Tale form va lasciato vuoto. A volte capita che dopo qualche secondo dal primo login, compaia una seconda richiesta, questa volta solo di username e dominio: se il certificato è stato creato in maniera corretta, nel campo username comparirà direttamente il nostro username , mentre il dominio va lasciato sempre vuoto.

[V4N3X]

AGGIORNAMENTO :
dopo il terzo login consecutivo la connessione è automatica, ovvero non viene richiesto più il login. La richiesta compare solo in caso di perdita delle impostazioni WPA; probabilmente il server autentica direttamente il mac address ormai acquisito, oppure WM5 bypassa direttamente il controllo certificati, classificando il server come "trusted". Preciso che, con questo metodo, non inficiamo in alcun modo la sicurezza della comunicazione. Il goal di questo metodo, consiste nell'ottenere comunque una comunicazione crittata come WPA2, anche se apparentemente WM5 non riesce a sfruttare la modalità PEAP. Ovviamente il metodo può essere testato con qualunque tipo di protezione password. Basta solo provare!!!!
La velocità è accettabile nonostante la chiave sia a 1024 bit. Spero di poter testare presto anche il VoIP.

[mlk81]

Salve a tutti..
credo siate gli unici che potete aiutarmi..
io vorrei collegare il mio HTC s620 con WM5 per smartphone alla rete wifi della mia università! sono già registrato quindi ho già nomeutente e password..
ho seguito la guida riportata qui:

http://www.csi.unina.it/allegati/gui...ingegneria.pdf

la connessione è WPA con crittografia TKIP e autenticazione IEEE 802.1x di tipo PEAP..
putroppo il telefono mi allaccia alla rete chiedendomi nomeutente e pass ma poi mi dice che non è possibile accedere alla rete perchè il certificato personale è stato rilasciato da qualcuno non riconosciuto.. o qualcosa del genere..
ho visto che il tread tratta di una cosa del genere.. anche se con critto diversa!
sapreste aiutarmi a risolvere il problema??
grazie mille in anticipo!

[V4N3X]

Ciao. Il problema sembra del tutto analogo, anche se la crittografia è del tipo TKIP...purtroppo io non dispongo di reti TKIP per provare, comunque, ammesso che esistano degli editor del registro di sistema per smartphones con cui inserire nuove chiavi, la difficoltà più seria sarebbe quella di coniare un certificato FAKE. Tu sei in grado di fare entrambe le cose??
P.S. considera che sul mio sito esiste una guida dettagliata sulla creazione dei certificati.

[aldo77]

E' da qualche giorno che cerco di connettermi alla rete wireless di facolta' senza riuscirci... adesso ho letto questo 3d e credo che la soluzione del mio problema sta proprio qua... Spero che l'autore possa darmi una mano...
Allora io uso un htc touch con WM6... la rete wireless è protetta dal protocollo WPA2 con crittografia AES e PEAP...
Quando tento di connettermi (con user e pass validi) mi ha l'errore della mancanza di certificato...
adesso nella guida per la configurazione della rete per winxp c'e' scritto di deselezionare la convalida certificato server quindi credo che in questo caso io devo dire al WM6 che non serve nessun certificato e non fargli credere che ce l'ho...
A questo indirizzo trovate come configurare la rete per win xp
http://www.unipa.it/pagine/cuc_comun...raSTUDENTI.pdf
pero' appunto certe opzioni non riesco a inserirle nel pocket...

Come posso configurare il touch per connettermi a questa rete wireless??

Grazie a chi mi dara' una mano...

[omero87]

Quote:

Originariamente inviato da aldo77

E' da qualche giorno che cerco di connettermi alla rete wireless di facolta' senza riuscirci... adesso ho letto questo 3d e credo che la soluzione del mio problema sta proprio qua... Spero che l'autore possa darmi una mano...
Allora io uso un htc touch con WM6... la rete wireless è protetta dal protocollo WPA2 con crittografia AES e PEAP...
Quando tento di connettermi (con user e pass validi) mi ha l'errore della mancanza di certificato...
adesso nella guida per la configurazione della rete per winxp c'e' scritto di deselezionare la convalida certificato server quindi credo che in questo caso io devo dire al WM6 che non serve nessun certificato e non fargli credere che ce l'ho...
A questo indirizzo trovate come configurare la rete per win xp
http://www.unipa.it/pagine/cuc_comun...raSTUDENTI.pdf
pero' appunto certe opzioni non riesco a inserirle nel pocket...

Come posso configurare il touch per connettermi a questa rete wireless??

Grazie a chi mi dara' una mano...

anch'io sono nella stessa situazione di aldo 77 qualcuno può aiutarci??non ho capito bene come ottenere il certificato

[aleco]

Mi iscrivo, anche nella mia facoltà il problema è lo stesso.

[omero87]

V4N3X puoi aiutarci?

[omero87]

evvai ci sono riuscito basta aggiungere la chiave nel registro

[Sonic54rr]

Quote:

Originariamente inviato da omero87

evvai ci sono riuscito basta aggiungere la chiave nel registro

Ciao anke io sono uno studente dell'uni di Palermo ed ho un HTC Touch e nn riesco a collegarmi....puoi spiegarmi tutta la procedura da seguire x configurare la connessione.....grazie

[aleco]

Quote:

Originariamente inviato da Sonic54rr

Ciao anke io sono uno studente dell'uni di Palermo ed ho un HTC Touch e nn riesco a collegarmi....puoi spiegarmi tutta la procedura da seguire x configurare la connessione.....grazie

Io ho WM6 ma dovrebbe funzionare anche con il 5.
Con un editor di registro bisogna andare fino alla cartella H_K_L_M\Comm\EAP\Extension\25\ e aggiungere il nuovo valore DWORD "ValidateServerCert", con valore "000000" (HEX)
Questo disabilita la verifica dei certificati, una volta rilevata la rete chiede i parametri di autenticazione e dopo poco si connette.
editor di registro per windows mobile ne trovi ovunque, fai una ricerca su google.
ovviamente dopo che modifichi la chiave devi riavviare il palmare.

[Sonic54rr]

Quote:

Originariamente inviato da aleco

Io ho WM6 ma dovrebbe funzionare anche con il 5.
Con un editor di registro bisogna andare fino alla cartella H_K_L_M\Comm\EAP\Extension\25\ e aggiungere il nuovo valore DWORD "ValidateServerCert", con valore "000000" (HEX)
Questo disabilita la verifica dei certificati, una volta rilevata la rete chiede i parametri di autenticazione e dopo poco si connette.
editor di registro per windows mobile ne trovi ovunque, fai una ricerca su google.
ovviamente dopo che modifichi la chiave devi riavviare il palmare.

Ciao anke io ho il wm6 e sto utilizzando CeRegEditor x cercare di entrare nel registro dell'htc ma nn trovo H_K_L_M..... puoi darmi un aiutino in più?
Gazie

[aleco]

Quote:

Originariamente inviato da Sonic54rr

Ciao anke io ho il wm6 e sto utilizzando CeRegEditor x cercare di entrare nel registro dell'htc ma nn trovo H_K_L_M..... puoi darmi un aiutino in più?
Gazie

ci sono 4 o 5 directory principali una di queste si chiama come ti ho scritto io o al massimo troverai scritto HKEY_LOCAL_MACHINE che è la versione estesa di quello che ti ho scritto io. non saprei in che altro modo potrebbe essere scritto. io uso l'editor della resco.

[Sonic54rr]

Quote:

Originariamente inviato da aleco

ci sono 4 o 5 directory principali una di queste si chiama come ti ho scritto io o al massimo troverai scritto HKEY_LOCAL_MACHINE che è la versione estesa di quello che ti ho scritto io. non saprei in che altro modo potrebbe essere scritto. io uso l'editor della resco.

ok trovato tutto il percorso .... dopo aver fatto tutta la procedura mi dice ACCESSO NEGATO.......xkè?

[aleco]

Quote:

Originariamente inviato da Sonic54rr

ok trovato tutto il percorso .... dopo aver fatto tutta la procedura mi dice ACCESSO NEGATO.......xkè?

dove te lo dice?
nel software? o quando cerchi di fare l'accesso alla rete wireless?

[Sonic54rr]

Quote:

Originariamente inviato da aleco

dove te lo dice?
nel software? o quando cerchi di fare l'accesso alla rete wireless?

mi spunta alla fine della creazione della nuova voce di registro.....accesso negato....quindi nn la crea....e rimango al punto di partenza....grazie x il tuo aiuto....