strator6750
Goto Top

IOS: Probleme beim Zertifikat-Import (openssl)

Hi,

für einen Test mit WLAN und Radius habe ich mir mittels openssl eine CA erstellt und möchte das zugehörige Client-Zertifikat auf ein iPhone importieren (iOS 17, neuester Patchstand).
Leider meldet mir die GUI immer, das eingegebene Passwort für das Zertifikat sei falsch.
Da es nur ein Test ist habe ich ein sehr kurzes, einfaches Passwort vergeben, am Vertippen liegt es eher nicht.

Ich weiß, dass ich früher problemlos mittels easyRSA generierte Zertifikate importieren konnte, was mache ich also falsch?

Folgender Befehl wurde zum Erstellen des Zertifikates verwendet:

openssl req -newkey rsa:4096 -nodes -keyout client-key.pem -out client-req.pem -subj '/CN=client'  
openssl x509 -sha256 -req -days 100 -in client-req.pem -out client-cert.pem -CA ca-cert.pem -CAkey ca-key.pem
openssl pkcs12 -export -in client-cert.pem -inkey client-key.pem -out client.p12

Die so entstandene p12-Datei habe ich im Anschluss auf das Handy zu importieren versucht.
Ich verwende openssl in Version 3.0.11-1.

Content-ID: 11363446468

Url: https://administrator.de/en/ios-probleme-beim-zertifikat-import-openssl-11363446468.html

Ausgedruckt am: 22.12.2024 um 05:12 Uhr

10138557388
Lösung 10138557388 28.12.2023 aktualisiert um 10:21:48 Uhr
Goto Top
Das falsche Passwort liegt am Verschlüsselungs-Algorithmus des Containers
Lässt sich beheben indem an die Parameter -descert / -legacy Parameter beim Export angibt ...

P12 zertifikat auf aktuelle Linux-Server kann auf IIS nicht importiert werden (Angeblich falsches Kennwort)

PJ.
strator6750
strator6750 28.12.2023 um 10:21:50 Uhr
Goto Top
Moin!

Stimmt, der Container sieht bei mir tatsächlich genauso aus...
Ist es denn safe, den legacy-Parameter anzugeben? Das klingt fast so, als würde ich dann bewusst nen alten Standard verwenden.
Solange das kein Sicherheitsproblem darstellt kann ich das natürlich einfach machen...
10138557388
10138557388 28.12.2023 aktualisiert um 10:28:36 Uhr
Goto Top
Zitat von @strator6750:

Moin!

Stimmt, der Container sieht bei mir tatsächlich genauso aus...
Ist es denn safe, den legacy-Parameter anzugeben? Das klingt fast so, als würde ich dann bewusst nen alten Standard verwenden.
Solange das kein Sicherheitsproblem darstellt kann ich das natürlich einfach machen...

Brauchst du ja nur für den Import, danach liegt der private Key eh im Keyring des Devices und das p12 File kannst du wieder schreddern oder in deinem Passwort-Safe ablegen.
strator6750
strator6750 28.12.2023 um 10:25:41 Uhr
Goto Top
Ja, die p12 wird nur einmal für den Import benutzt, stimmt!

Jedenfalls funktioniert es nun tatsächlich.
Super, vielen Dank für deine schnelle Hilfe!
Ich werde mal mehr zum Thema recherchieren...