目前市场上支持WLAN功能的手机型号和数量如井喷之势迅猛增加。随之而来，检测机构在检测手机对WAPI功能支持的过程中，厂商送测的产品会出现一些问题，导致WAPI功能测试失败，问题的出现造成了手机厂商产品研发周期的增长及研发成本的增加。其实，许多测试暴露出来的问题并不是十分严重，大多数是因为产品在研发过程中某些细节没有注意到或者没有合理的处理。检测机构以及WAPI联盟实验室在开展检测工作的过程中，积累了一些通常会遇到的具体的问题，通过对这些问题的分析和解释，希望能够为厂商的研发提供一些有价值的参考，以便节省厂商的研发时间和成本。

本文紧扣YDC 079-2009《移动用户终端无线局域网技术指标和测试方法》（以下简称手机测试标准）和GB 15629.11-2003/XG1-2006《信息技术 系统间远程通信和信息交换 局域网和城域网 特定要求 第11部分：无线局域网媒体访问控制和物理层规范》第1号修改单（以下简称WAPI技术标准），通过介绍手机WAPI功能测试标准中的九个测试项目（1、证书安装；2、证书鉴别；3、预共享密钥；4、证书选择；5、加密；6、密钥更新；7、否定非法证书；8、同一AS域内AP间切换；9、WAPI-SOM功能），从测试中常见问题及解决方法、手机测试标准中的功能要求和测试方法以及手机测试标准中的功能要求与WAPI技术标准的章节对应关系等几个方面入手为厂商的研发工作提供帮助。

本文将介绍手机WAPI功能检测中证书安装项目的常见问题及分析。

1 证书安装功能测试中常见问题及解决方法

1.1 问题一：证书格式错误，导致无法安装证书。
在 WAPI技术标准第8.1.3章中，明确定义了证书的格式为X.509 v3和GBW证书（GBW格式为可选）。对于部分厂商送测的样品仅支持*.crt格式的证书，将无法通过检测。对于证书存储格式的问题，应遵循WAPI技术标准。X.509 v3证书应以PEM格式进行存储，后缀名为 *.cer。对于有必要支持其他证书格式的产品，可以在完成了X.509 v3证书格式的基础上，增添对其他证书格式的支持。

用户证书为鉴别服务单元ASU颁发的公钥证书，证书中应包含正确的WAPI特有的OID信息，如：签名算法应使用ECDSA-192、杂凑算法应使用SHA-256、公钥算法标识、签名算法标识以及椭圆曲线参数等。如果在上述的参数中没有采用WAPI特有的OID信息，或者这些信息未能被正确的添加，将导致证书无法安装的问题出现。

1.2 问题二：证书鉴别模式接入网络，产生虚假连接成功。

问题现象为手机端显示网络已连接，实际上不能上网。

个别情况是网卡本身的WLAN功能实现有问题导致，换而言之，使用open模式或11i等安全模式，同样无法正常收发数据。因此，需要首先确定网卡WLAN功能实现的完整而且可以正常工作。在此基础上可以继续排查，是否是因为WAPI的鉴别协议WAI通过了，加解密协议WPI未成功所导致的虚假连接，需要排查加解密的功能是否正确实现并能正常工作。

1.3 问题三：P12格式证书无法解析及安装。

为了提高证书颁发的安全性，在某些应用场景中需要使用基于*.P12格式的数字证书。该格式证书需要使用WAPI专有的ECC曲线，不能使用非WAPI专用ECC曲线来解析WAPI的P12格式证书。如：一些操作系统中会自带P12格式证书的处理方式，没有WAPI专用的ECC曲线来解析证书，最终会导致证书无法解析以及安装。

一部分厂商已经意识到P12格式证书的重要性，也积极研发了P12格式证书功能。如果未能正确调用WAPI专用的ECC曲线，或者实现的不正确，将导致证书无法安装，通常这种情况下PEM证书也无法安装。

1.4 问题四：证书安装后，手机在连接WAPI网络时提示无法找到证书。

类似的问题主要是以下两个方面的原因导致的：一、手机对证书安装的完整性未做校验，导致证书并未正确安装，在调用证书时，无法完成对证书的校验。二、证书的安装位置和WAPI手机调用证书位置不一致。

手机需要在证书安装的程序中完善安装的校验，如果证书未能正确安装，需要提示用户证书安装错误，同时保证证书安装的位置与WAPI手机调用证书的位置相同。

1.5 问题四：证书安装过程不易操作。

证书安装和使用的易用性问题，虽然不一定会导致手机无法通过检测，但是易用性不高将给最终用户操作上带来极大不便，甚至导致最终用户无法使用。证书安装的易用性问题主要有以下几个方面：

a)手机不识别包含中文字符的证书文件夹。

b)手机仅识别名称为as和user的证书文件，其他命名不识别。

c)证书文件必须拷贝到一个特定的文件夹下才能安装。

从技术的角度讲，这些问题并不是核心的技术环节，但是，对于最终用户使用的影响却非常大。

2 证书安装功能要求及测试方法

2.1 功能要求

移动用户终端应能安装X.509 v3证书 （参见手机测试标准 第5.2.2.3章）。

2.2 测试步骤

配置AS1为EUT颁发证书，拷贝证书文件到EUT并安装，观察是否安装成功。

2.3 预期结果

EUT能够成功安装证书（参见手机测试标准第6.3.2.2章）。

3 证书安装功能要求与WAPI技术标准的章节对应关系

手机测试标准中的证书安装功能要求与WAPI技术标准第8.1.3章中包含的X.509 v3证书和GBW证书两个小节对应。详细内容可以参阅 WAPI技术标准。