<div dir="ltr">2013/9/12 Brian Julin <span dir="ltr"><<a href="mailto:BJulin@clarku.edu" target="_blank">BJulin@clarku.edu</a>></span><br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<div class=""><div class="h5"><br>
> Trevor Jennings wrote:<br>
<br>[...]<br><br>
> On OSX, the certificates are marked as valid, including the root, intermediate<br>
> and server, but still prompts the user to accept. Is there a way around this?<br>
<br>
</div></div>About the only way I can think of is to install a profile (.mobileconfig) which<br>
pre-approves the use of that certificate authority.</blockquote><div>If you want to make things all nice and green-looking for your end-users seek for </div><div>mobileconfig signing. TERENA has a good example how to do this for eduroam:</div>
<div><a href="https://confluence.terena.org/display/tcs/Sign+Apple+mobileconfig+files">https://confluence.terena.org/display/tcs/Sign+Apple+mobileconfig+files</a><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
 Reason being, if you just<br>
accept any old certificate authority any compromised certificate will work, and<br>
on newer OSX/iOS the only way to check the certificate subject for the name<br>
of your RADIUS server.</blockquote><div>And as you mention OS X, yes the same .mobileconfig for iOS will work for OS X 10.7 onwards,</div><div>which was a quite nice thing in my environment to know.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
[...]</blockquote><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"> </blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

(Incidentally this is why many environments do not like having Android devices<br>
on their wireless LANs since they don't have any such native options accessible<br>
from the UI or even a decent way to distribute profiles.</blockquote><div><br></div><div>At least from that side there is hope for improvements with Android 4.3 onwards there</div><div>are API calls for enterprise wireless configuration.</div>
<div><br></div><div>Maybe "someone" steps up by making an application that can manage profiles or something like this.<br><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
  Heck they don't even fake it by making the first certificate they see sticky.</blockquote><div>Worse... ;-)</div><div><br></div><div>It's up to the user to install the CA certificate on its own - even if that is a public CA in the Android,</div>
<div>they can't select them otherwise (!) . At least then authentication stops if you put up a server certificate</div><div>not signed by that specified CA.</div><div><br></div><div>The only open source provisioning tool for Android (that I believe didn't get much traction) SU1X for Android, </div>
<div>made by Swansea University for eduroam.</div><div><br></div><div>-- Mathieu</div></div></div></div>