strator6750
Goto Top

IOS: Probleme beim Zertifikat-Import (openssl)

Hi,

für einen Test mit WLAN und Radius habe ich mir mittels openssl eine CA erstellt und möchte das zugehörige Client-Zertifikat auf ein iPhone importieren (iOS 17, neuester Patchstand).
Leider meldet mir die GUI immer, das eingegebene Passwort für das Zertifikat sei falsch.
Da es nur ein Test ist habe ich ein sehr kurzes, einfaches Passwort vergeben, am Vertippen liegt es eher nicht.

Ich weiß, dass ich früher problemlos mittels easyRSA generierte Zertifikate importieren konnte, was mache ich also falsch?

Folgender Befehl wurde zum Erstellen des Zertifikates verwendet:

openssl req -newkey rsa:4096 -nodes -keyout client-key.pem -out client-req.pem -subj '/CN=client'  
openssl x509 -sha256 -req -days 100 -in client-req.pem -out client-cert.pem -CA ca-cert.pem -CAkey ca-key.pem
openssl pkcs12 -export -in client-cert.pem -inkey client-key.pem -out client.p12

Die so entstandene p12-Datei habe ich im Anschluss auf das Handy zu importieren versucht.
Ich verwende openssl in Version 3.0.11-1.

Content-Key: 11363446468

Url: https://administrator.de/contentid/11363446468

Printed on: July 24, 2024 at 22:07 o'clock

Mitglied: 10138557388
Solution 10138557388 Dec 28, 2023 updated at 09:21:48 (UTC)
Goto Top
Das falsche Passwort liegt am Verschlüsselungs-Algorithmus des Containers
Lässt sich beheben indem an die Parameter -descert / -legacy Parameter beim Export angibt ...

P12 zertifikat auf aktuelle Linux-Server kann auf IIS nicht importiert werden (Angeblich falsches Kennwort)

PJ.
Member: strator6750
strator6750 Dec 28, 2023 at 09:21:50 (UTC)
Goto Top
Moin!

Stimmt, der Container sieht bei mir tatsächlich genauso aus...
Ist es denn safe, den legacy-Parameter anzugeben? Das klingt fast so, als würde ich dann bewusst nen alten Standard verwenden.
Solange das kein Sicherheitsproblem darstellt kann ich das natürlich einfach machen...
Mitglied: 10138557388
10138557388 Dec 28, 2023 updated at 09:28:36 (UTC)
Goto Top
Zitat von @strator6750:

Moin!

Stimmt, der Container sieht bei mir tatsächlich genauso aus...
Ist es denn safe, den legacy-Parameter anzugeben? Das klingt fast so, als würde ich dann bewusst nen alten Standard verwenden.
Solange das kein Sicherheitsproblem darstellt kann ich das natürlich einfach machen...

Brauchst du ja nur für den Import, danach liegt der private Key eh im Keyring des Devices und das p12 File kannst du wieder schreddern oder in deinem Passwort-Safe ablegen.
Member: strator6750
strator6750 Dec 28, 2023 at 09:25:41 (UTC)
Goto Top
Ja, die p12 wird nur einmal für den Import benutzt, stimmt!

Jedenfalls funktioniert es nun tatsächlich.
Super, vielen Dank für deine schnelle Hilfe!
Ich werde mal mehr zum Thema recherchieren...