[参考译文] CC3220MODA：有关 WPA2企业安全连接期间支持的 TLS 版本的澄清

好的、这很不幸、因为这意味着随着对 TLS1.0的支持消失、未来可能会出现问题。  感谢您的回答。  如果我了解有关具体问题的更多信息、我将分享详细信息。

您好！

对 TLS 1.0的支持已经过时、Microsoft、Google 和其他大型科技公司已弃用 TLS 1.0 (2021年3月、RFC 8996中正式弃用)。 许多其他公司都有"没有 TLS 1.0"策略。 目前很难找到在 RADIUS 服务器上启用 TLS 1.0的公司。

1月

我咨询过我们的 Radius 服务器提供商、截至2021年12月、他们只支持 TLS 1.2、而且我们没有任何 WPA-企业连接问题。  我相信我们使用的是 PEAP-MSCHAPv2、但我能不能对 CC3220如何支持此连接做出一些说明？  出现问题时很难进行分析。  我试图更好地理解关于支持仅限于 TLS 1.0的答案、以及为什么这不会影响我们的连接。  

我们的 Radius 服务器主机支持以下密码：   

• TLS_ECDHE_RSA_带_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_带_AES_256_GCM_SHA384
• TLS_RSA_其中_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_使用_AES_128_CBC_SHA
• TLS_ECDHE_RSA_使用_AES_256_CBC_SHA
• TLS_RSA_其中_AES_128_CBC_SHA256
• TLS_RSA_其中_AES_128_CBC_SHA
• TLS_RSA_其中_AES_256_CBC_SHA

我们如何查看 CC3220支持哪些功能、并根据客户的 Radius 服务器要求进行反弹？

是否存在可能暴露 CC3220的这一特定限制的 WPA-Enterprise 身份验证过程元素或版本？  很多此过程都是低级的、对我们来说是不可见的、因此调试更困难。   

谢谢

尊敬的 Pete：

唯一的解释是您的 RADIUS 服务器提供商没有正确地禁用 TLS 1.0支持。 PEAP-MSCHAPv2对 TLS 1.0仍有限制。 我很确定，因为我已经通过 FreeRADIUS 服务器和许多其他最终用户服务器验证了它。

使用 WPA2-EAP 诊断问题的最佳方法是检查 RADIUS 服务器上的日志。 其他方法可能会嗅探 CC3220和 RADIUS 服务器之间的网络。 如果要确保您的 CC3220将与您客户网络中的 EAP 配合使用、您应请求 TLS 1.0以保证 EAP 安全。

在使用 EAP 安全时、从 CC3220诊断并不是太有用。 您可以检查断开原因代码。 根据我的经验，主要是：

• 208 -用户名或密码错误,无法验证 RADIUS 服务器的 CA 文件,缺少 TLS EAP 的私钥, RADIUS 服务器不支持 TLS 1.0 ,其他错误( RADIUS 服务器未运行或配置错误)。
• 209 -文件系统中缺少 CA 文件,文件系统中缺少证书
• 210 - CA 文件已过期或未设置时间

最后一种诊断方法是捕获 NWP 日志。 但是、这种方式在您与客户交互时并没有太大的灵活性、因为您需要请求 TI 来解码 NWP 日志。

根据我的经验、当启用 TLS 1.0时、CC3220 EAP 安全性效果很好。 如果 EAP 安全性不起作用，您可以确定99%的问题是 TLS 1.2。

1月

这只会影响 WPA-企业安全连接还是 WPA2安全连接？  似乎 CC3220被记录为支持企业版、但任何人都不可能知道它真的不起作用、直到他们遇到这个问题。 在部件被引入时、它可能已经成为一项功能、但实际上它已经过时了。  这对我们来说将是一个巨大的问题。