更改相关的 OpenSSL 配置#

在 /etc/nixos 下的 configuration.nix 中增加以下内容：

1
  # 修复：无法连接不遵循规范的的WPA2企业网络
2
  systemd.services.wpa_supplicant.environment.OPENSSL_CONF = pkgs.writeText "openssl.cnf" ''
3
    openssl_conf = openssl_init
4

5
    [openssl_init]
6
    ssl_conf = ssl_sect
7

8
    [ssl_sect]
9
    system_default = system_default_sect
10

11
    [system_default_sect]
12
    Options = UnsafeLegacyRenegotiation
13
    CipherString = Default:@SECLEVEL=0
14
  '';

这段配置的大致行为是：

1. 修改了 wpa_supplicant 的 OpenSSL 配置
2. 允许不安全的旧式 TLS renegotiation（理论上会增加被中间人利用旧协商缺陷的风险）
3. 把 OpenSSL 的加密强度门槛降到最低兼容模式（允许弱加密配置）

然后记得重建系统（如果没有使用 flake 就删掉 --flake）：

1
sudo nixos-rebuild switch --flake .

手动添加连接#

由于 nmtui 等工具会拒绝连接加密强度低的网络，需要手动增加连接。运行下面的命令：

1
nmcli connection add type wifi \
2
  con-name "<连接名称(一般和SSID相同)>" \
3
  ifname "*" \
4
  ssid "<网络的SSID>" \
5
  wifi-sec.key-mgmt wpa-eap \
6
  802-1x.eap peap \
7
  802-1x.identity "<账号>" \
8
  802-1x.password "<密码>" \
9
  802-1x.phase2-auth mschapv2

提示

请将命令中所有被 <> 包裹的部分根据实际情况做出修改。
以下命令适用于使用 WPA-EAP 与 MSCHAPV2 的网络，如果你不确定网络的配置，可以先在手机上尝试登陆。

执行后就可以在“已保存的连接”中看到了。