Ik probeer de Hotspot Ziggo te koppelen met een Raspberry Zero WiFi Bluetooth. Op zich lukt dat wel maar het certificaat dat ik gedownload heb wordt afgekeurd. Ik heb verschillende certificaten gedownload (Win7+8+10) geprobeerd maar steeds dezelfde foutmelding. Het accesspoint (de Hotspot Ziggo) wordt wel geassocieerd en gekoppeld en blijft gekoppeld. Ik krijg dus ook een ipadres. Hieronder een stukje logging van wpa_supplicant, zie de foutmelding bij --->>>>> :
wlan0: CTRL-EVENT-EAP-STARTED EAP authentication started
wlan0: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=25
--->>>>> OpenSSL: tls_connection_ca_cert - Failed to load root certificates error:0B084088:x509 certificate routines:X509_load_cert_crl_file:no certificate or crl found
wlan0: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 25 (PEAP) selected
wlan0: CTRL-EVENT-EAP-PEER-CERT depth=2 subject='/O=Ziggo B.V./C=NL/CN=Ziggo Public RootCA - G1' hash=8e9fd840bf8739cd6723a0c7a3a5986e5b5aeb7e63e3763dc8a948638f89ec09
wlan0: CTRL-EVENT-EAP-PEER-CERT depth=1 subject='/C=NL/O=Ziggo B.V./CN=Ziggo Public Wifi IssuingCA - G1' hash=18e48704738970d0f2af41636e26abff071b94886f748b5dbfcec06f4a00c337
wlan0: CTRL-EVENT-EAP-PEER-CERT depth=0 subject='/C=NL/ST=Utrecht/O=Ziggo B.V./OU=SOC/CN=WifiSpots/emailAddress=dnsadmin@as9143.net' hash=2e485f6a2157661b607a82413bdf02e6f54befcb0d833dfa75054f132132c8fd
EAP-MSCHAPV2: Authentication succeeded
EAP-TLV: TLV Result - Success - EAP-TLV/Phase2 Completed
wlan0: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
wlan0: PMKSA-CACHE-ADDED 92:00:4e:0f:6c:2a 0
wlan0: WPA: Key negotiation completed with 92:00:4e:0f:6c:2a [PTK=CCMP GTK=CCMP]
wlan0: CTRL-EVENT-CONNECTED - Connection to 92:00:4e:0f:6c:2a completed [id=0 id_str=]
Hoe kom ik aan een correct werkend certificaat om een veilige koppeling te realiseren?
In de foutmelding komt X.509 voor en dat duidt op een DER certificaat. Ik heb dus een DER certificaat nodig en geen .crt.
DER (Distinguished Encoding Rules) is a binary encoding for X.509 certificates
Opgelost! Ga naar oplossing.
Omzetten van het Ziggo certificaat van crt naar der en der naar pem is 100% gelukt.
Het certificaat toepassen in wpa_supplicant levert nog wat foutmeldingen op, kost wel even tijd om dat uit te zoeken. Wordt vervolgd
Overigens:
Het omzetten van het certificaat lukte niet op Linux, ik krijg een 64bits foutmelding van OpenSSL. Ik heb dit omzetten op Windows10-64bits probleemloos kunnen uitvoeren met de exacte statements van hierboven.
WPA_SUPPLICANT Ziggo Hotspot Connectie gelukt !!
-------------------------------------------------------------------------------------------------------------------
Onderstaand de logfile en daaronder de wpa_supplicant.conf voor de liefhebber:
-------------------------------------------------------------------------------------------------------------------
wlan0: Trying to associate with 66:27:37:78:22:99 (SSID='Ziggo' freq=2462 MHz)
wlan0: Associated with 66:27:37:78:22:99
wlan0: CTRL-EVENT-EAP-STARTED EAP authentication started
wlan0: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=25
wlan0: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 25 (PEAP) selected
wlan0: CTRL-EVENT-EAP-PEER-CERT depth=2 subject='/O=Ziggo B.V./C=NL/CN=Ziggo Public RootCA - G1' hash=8e9fd840bf8739cd6723a0c7a3a5986e5b5aeb7e63e3763dc8a948638f89ec09
wlan0: CTRL-EVENT-EAP-PEER-CERT depth=1 subject='/C=NL/O=Ziggo B.V./CN=Ziggo Public Wifi IssuingCA - G1' hash=18e48704738970d0f2af41636e26abff071b94886f748b5dbfcec06f4a00c337
wlan0: CTRL-EVENT-EAP-PEER-CERT depth=0 subject='/C=NL/ST=Utrecht/O=Ziggo B.V./OU=SOC/CN=WifiSpots/emailAddress=dnsadmin@as9143.net' hash=2e485f6a2157661b607a82413bdf02e6f54befcb0d833dfa75054f132132c8fd
EAP-MSCHAPV2: Authentication succeeded
EAP-TLV: TLV Result - Success - EAP-TLV/Phase2 Completed
wlan0: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
wlan0: PMKSA-CACHE-ADDED 66:27:37:78:22:99 0
wlan0: WPA: Key negotiation completed with 66:27:37:78:22:99 [PTK=CCMP GTK=CCMP]
wlan0: CTRL-EVENT-CONNECTED - Connection to 66:27:37:78:22:99 completed [id=0 id_str=]
-------------------------------------------------------------------------------------------------------------------
wpa_supplicant.conf file op Linux Debian Buster met RaspberryPI Zero
-------------------------------------------------------------------------------------------------------------------
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
update_config=1
country=NL
network={
ssid="Ziggo"
identity="ZiggoHotspotUsername"
password="ZiggoHotspotPassword"
pairwise=CCMP TKIP
group=CCMP TKIP
scan_ssid=0
key_mgmt=WPA-EAP
eap=PEAP
ca_cert="/etc/wpa_supplicant/ZiggoPem.pem"
phase1="peapver=0"
phase2="auth=MSCHAPV2"
}
TKIP kan verwijderd worden uit de config, de authenticatie verloopt bij WPA2-Enterprise altijd met CCMP:
pairwise=CCMP
group=CCMP
Verder is het zo dat er ook zonder certificaat gekoppeld kan worden met Ziggo-Hotspots:
https://www.ziggo.nl/klantenservice/internet-wifi/wifispots/instellen#/ga-verder/ga-verder/overige/
Eerste alinea is zonder certificaat en de tweede alinea is met certificaat echter de .crt werkt niet in Linux WPA_SUPPLICANT, moet geconverteerd worden naar een .pem certificaat (zie ook deze topic boven)
Werken met het certificaat is veiliger maar niet verplicht.
Jij bent de IT-hulplijn in je straat, de verlichting werkt thuis op commando en je groet de pakketbezorger met de slimme deurbel. Herkenbaar? Dan zijn de Community events echt iets voor jou! Doe mee en sluit je aan.
Ter aanvulling nog mijn wpa_supplicant.conf
Het certificaat bestand staat op de juiste plaats, er is geen sprake van file-not-found !!
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
update_config=1
country=NL
network={
ssid="Ziggo"
identity="userid"
password="wachtwoord"
ca_cert="/etc/wpa_supplicant/MyCertZiggo.crt"
pairwise=CCMP TKIP
group=CCMP TKIP
scan_ssid=0
key_mgmt=WPA-EAP
eap=PEAP
phase1="peapver=0"
phase2="auth=MSCHAPV2"
}
Geen idee wat deze besturingssystemen betreft.
Bert, dank voor je reactie en het is gewoon Linux, bedoel je dat je geen idee hebt omtrent Linux?
Geen idee wat betreft Linux.
Die is alleen hier in gebruik op kant en klare rescue media.🙂
Bert wederom dank voor je reactie. Misschien kan je iets verhelderen over de certificaten. Ik zie op de Ziggo website dat er per OS (Windows, Apple, Android e.d.) gekozen kan worden om het certificaat door te voeren. Wat zijn de verschillen? Zijn de certificaten allemaal hetzelfde en alleen de implementatie per OS anders of zijn er ook verschillen in de certificaten (per OS) ?
@AdriaanB Ik heb geen antwoord op deze vragen, omdat ik de wifispots niet gebruik en me er niet in verdiept heb.
Hopelijk komt er snel iemand langs die hier meer van weet.
In 2014 is hier een oplossing gegeven maar dan met een .pem certificaat
https://community.ziggo.nl/t5/Internet/Ziggo-WifiSpots-i-c-m-Linux/m-p/321#M296
Edit: Ik zag dat je bovenstaande link zelf ook al had gevonden.
Omzetten van een certificaat van crt naar der en der naar pem:
openssl x509 -in input.crt -out input.der -outform DER
openssl x509 -in input.der -inform DER -out output.pem -outform PEM
Ik heb het zelf niet geprobeerd maar hopelijk helpt het je opweg.
Dank, ik ga het proberen met het omzetten. Ik kom later met het resultaat.
Omzetten van het Ziggo certificaat van crt naar der en der naar pem is 100% gelukt.
Het certificaat toepassen in wpa_supplicant levert nog wat foutmeldingen op, kost wel even tijd om dat uit te zoeken. Wordt vervolgd
Overigens:
Het omzetten van het certificaat lukte niet op Linux, ik krijg een 64bits foutmelding van OpenSSL. Ik heb dit omzetten op Windows10-64bits probleemloos kunnen uitvoeren met de exacte statements van hierboven.
WPA_SUPPLICANT Ziggo Hotspot Connectie gelukt !!
-------------------------------------------------------------------------------------------------------------------
Onderstaand de logfile en daaronder de wpa_supplicant.conf voor de liefhebber:
-------------------------------------------------------------------------------------------------------------------
wlan0: Trying to associate with 66:27:37:78:22:99 (SSID='Ziggo' freq=2462 MHz)
wlan0: Associated with 66:27:37:78:22:99
wlan0: CTRL-EVENT-EAP-STARTED EAP authentication started
wlan0: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=25
wlan0: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 25 (PEAP) selected
wlan0: CTRL-EVENT-EAP-PEER-CERT depth=2 subject='/O=Ziggo B.V./C=NL/CN=Ziggo Public RootCA - G1' hash=8e9fd840bf8739cd6723a0c7a3a5986e5b5aeb7e63e3763dc8a948638f89ec09
wlan0: CTRL-EVENT-EAP-PEER-CERT depth=1 subject='/C=NL/O=Ziggo B.V./CN=Ziggo Public Wifi IssuingCA - G1' hash=18e48704738970d0f2af41636e26abff071b94886f748b5dbfcec06f4a00c337
wlan0: CTRL-EVENT-EAP-PEER-CERT depth=0 subject='/C=NL/ST=Utrecht/O=Ziggo B.V./OU=SOC/CN=WifiSpots/emailAddress=dnsadmin@as9143.net' hash=2e485f6a2157661b607a82413bdf02e6f54befcb0d833dfa75054f132132c8fd
EAP-MSCHAPV2: Authentication succeeded
EAP-TLV: TLV Result - Success - EAP-TLV/Phase2 Completed
wlan0: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
wlan0: PMKSA-CACHE-ADDED 66:27:37:78:22:99 0
wlan0: WPA: Key negotiation completed with 66:27:37:78:22:99 [PTK=CCMP GTK=CCMP]
wlan0: CTRL-EVENT-CONNECTED - Connection to 66:27:37:78:22:99 completed [id=0 id_str=]
-------------------------------------------------------------------------------------------------------------------
wpa_supplicant.conf file op Linux Debian Buster met RaspberryPI Zero
-------------------------------------------------------------------------------------------------------------------
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
update_config=1
country=NL
network={
ssid="Ziggo"
identity="ZiggoHotspotUsername"
password="ZiggoHotspotPassword"
pairwise=CCMP TKIP
group=CCMP TKIP
scan_ssid=0
key_mgmt=WPA-EAP
eap=PEAP
ca_cert="/etc/wpa_supplicant/ZiggoPem.pem"
phase1="peapver=0"
phase2="auth=MSCHAPV2"
}
TKIP kan verwijderd worden uit de config, de authenticatie verloopt bij WPA2-Enterprise altijd met CCMP:
pairwise=CCMP
group=CCMP
Verder is het zo dat er ook zonder certificaat gekoppeld kan worden met Ziggo-Hotspots:
https://www.ziggo.nl/klantenservice/internet-wifi/wifispots/instellen#/ga-verder/ga-verder/overige/
Eerste alinea is zonder certificaat en de tweede alinea is met certificaat echter de .crt werkt niet in Linux WPA_SUPPLICANT, moet geconverteerd worden naar een .pem certificaat (zie ook deze topic boven)
Werken met het certificaat is veiliger maar niet verplicht.
Vul de belangrijkste trefwoorden in en vind het topic die past bij je vraag. Onze community zit boordevol kennis.
Start je eigen topic en krijg hulp van anderen. Op de community helpen ervaren klanten je graag op weg.