bugmenot2
Goto Top

Cisco AnyConnect Mobile importiert Server-CA anstatt Root-CA?

Hallo,

Folgende Situation.
OpenConnect-Server (ocserv) ist auf CentOS installiert.
Bei CACert wurden die entsprechenden Zertifikate erstellt.
Serverzertifikat.pem + Privkey.pem wurde beides in der Config angeben.
Verbinde ich mich nun mit dem Server per PC (AnyConnect), funktioniert dies ohne Fehlermeldungen,
sofern das RootCA von CACert installiert ist.
Nun habe ich mich mit per iPhone verbunden, dort wird mir sofort die Meldung (Untrustet Server cert) angezeigt aufgrund des fehlendes RootCA's.
Dies lässt sich dann aber direkt importieren, sodass die Fehlermeldung auch hier verschwindet.
Mir ist nun folgendes unklar.
Wenn ich per iPhone das Zertifikat importiere welches mir bei klick auf die Fehlermeldung angezeigt wird, wird mir das Serverzertifikat welches ich bei CACert erstellt habe, importiert und nicht das Stammzertifikat von RootCA (Klasse1).
Das Gleiche tritt auf wenn ich das RootCA (Klasse1) vom PC lösche und mich anschließend mich per AnyConnect verbinde, dann wird nicht das ursprüngliche RootCA importiert sofern ich den Haken (Zertifikat importieren) in der Fehlermeldung setze, sondern wieder das Serverzertifikat, welches mir dann wieder einen Fehler ausgibt, sofern ich in AnyConnect den Haken bei "Block Connections to untrusted Servers" setze.
Beim iPhone bleibt dieser Fehler, trotz dieser gesetzen Option aus.
Wie unterscheidet sich das RootCA vom Server-Cert? Theoretisch müsste ich doch auch auf dem iPhone das RootCA anstatt dem automatisch importieren Serverzertifikat nehmen, da mir zwar der Fehler bei gesetzer Option "Block Connections to untrusted Servers" nicht angezeigt wird wie beim PC, aber ich trotzdem Sicherheitsbedenken habe.

Serverzertifikat auf PC aktiv = PC gibt Fehlermeldung (untrusted Server cert) nur bei gesetzer Option "Block Connections to untrusted Servers"
Serverzertifikat auf iPhone aktiv = Keine Fehlermeldungen selbst bei gesetzer Option "Block Connections to untrusted Servers" -> warum wird hier bei gesetzer Option kein Fehler wie auf dem PC ausgeben?
Root CA auf PC aktiv = Keinerlei Fehlermeldung -> so sollte es sein.
Kein Zertifikat = Fehlermeldungen bei Clients mit und ohne gesetzer Option "Block Connections to untrusted Servers" -> logisch.


Mir ist das nicht klar, warum den überhaupt das Serverzertifikat bei beiden Geräten importiert wird, anstatt dem RootCA, wenn man bedenkt das die Fehlermeldungen nur komplett weg sind wenn das RootCA aufm PC installiert ist.
Und warum das iPhone mit dem Server-Zertifikat sich zufrieden gibt, der PC aber das RootCA braucht um selbst bei gesetzer Option, keinen Fehler mehr ausgibt.

Sorry etwas langer Text, ich hoffe man kann es verstehen

Grus.

Content-ID: 287280

Url: https://administrator.de/contentid/287280

Ausgedruckt am: 08.11.2024 um 02:11 Uhr

StefanKittel
Lösung StefanKittel 02.11.2015, aktualisiert am 05.11.2015 um 17:59:03 Uhr
Goto Top
Moin,

das ist ganz einfach und normal so.

Beispiel mit Browser (SSL - https)
Wenn Du auf die Seite gehts mit diesem Zertifikat prüft Dein Browser ob das Zertifkat technisch gültig ist und ob es von Jemanden ausgestellt ist (Root-CA) dem er vertraut.

Da Dein Broser der Root-CA von CACert nicht vertraut, vertraut er auch dem Zertifikat nicht.
Er bietet Dir nun an diesem Zertifikat zu vertrauen und dem kannst Du zustimmen.

Er bietet Dir nicht an der Root-CA zu vertrauen. Das wäre ein zu großer Sprung.

Bloß weil Du einem bestimmten Auto vertraust, musst Du ja nicht gleich dem ganzem Autohersteller auf immer vertrauen.
Und das ist das Root-CA ja.

Du kannst nun dem Zertifikat vertrauen, aber beim ablauf der Zertifikates musst Du das dann wieder auf allen Geräten machen.
Besser als dem Zertifikat zu vertrauen ist in Deinem Fall also die Root-CA zu installieren.

Das ist auch der primäre Unterschied zu kostenpflichtigen Anbietern.
Deren Root-CA ist in den meisten Browser/Betriebssystemen schon enthalten.
Man muss dann auf die Clientgeräten nichts mehr installieren.

Viele Grüße

Stefan
bugmenot2
bugmenot2 02.11.2015, aktualisiert am 05.11.2015 um 18:01:26 Uhr
Goto Top
Hallo,
habe mir bei StartSSL ein Zertifikat austellen lassen.
Probleme sind nun weg.