11
Windows Server CA und Android Geräte
Hallo zusammen
Kennt sich jemand mit Windows Server CA und Android Geräten aus?
Ich habe in der CA mein Root Zertifikat exportiert, das ganze auf dem Android Gerät hochgeladen und installiert. Das Zertifikat erscheint dann auch in den Nutzeranmeldedaten mit dem Vermerkt "Für VPN und Apps installiert".
Trotz neustart wird mir eine Webseite im Chrome jedoch mit "ERR_CERT_AUTHORITY_INVALID" quitiert, und in einer App erhalte ich die Meldung "java.serucirty.cert.CertPathValidatorException: Trust anchro for certification path not found.".
Nun frage ich mich jedoch wo der Fehler sein könnte. Muss das Zertifikat auf einem Android Gerät noch irgendwie anders installiert werden? Ich habe gelesen das sei nur wenn das Root Zertifikat ungültig ist. Dies ist es jedoch kaum da es bei Windows funktioniert, und auch auf Linux scheint es zu funktioneren. Ein
openssl s_client -connect mysite.com:port
gibt keine Fehler aus.
EDIT: Nun habe ich noch das Root CA als .cer exportiert ohne privat Key und auf dem Android Gerät installiert. Nun erscheint es zusätzlich unter "Vertrauenswürdige Anmeldedaten" und dort unter "Nutzer". Im Browser wird es nun als gültig angezeigt. Jedoch bleibt der Java Fehler in den anderen Apps.
Gruss
Koda
Kennt sich jemand mit Windows Server CA und Android Geräten aus?
Ich habe in der CA mein Root Zertifikat exportiert, das ganze auf dem Android Gerät hochgeladen und installiert. Das Zertifikat erscheint dann auch in den Nutzeranmeldedaten mit dem Vermerkt "Für VPN und Apps installiert".
Trotz neustart wird mir eine Webseite im Chrome jedoch mit "ERR_CERT_AUTHORITY_INVALID" quitiert, und in einer App erhalte ich die Meldung "java.serucirty.cert.CertPathValidatorException: Trust anchro for certification path not found.".
Nun frage ich mich jedoch wo der Fehler sein könnte. Muss das Zertifikat auf einem Android Gerät noch irgendwie anders installiert werden? Ich habe gelesen das sei nur wenn das Root Zertifikat ungültig ist. Dies ist es jedoch kaum da es bei Windows funktioniert, und auch auf Linux scheint es zu funktioneren. Ein
openssl s_client -connect mysite.com:port
gibt keine Fehler aus.
EDIT: Nun habe ich noch das Root CA als .cer exportiert ohne privat Key und auf dem Android Gerät installiert. Nun erscheint es zusätzlich unter "Vertrauenswürdige Anmeldedaten" und dort unter "Nutzer". Im Browser wird es nun als gültig angezeigt. Jedoch bleibt der Java Fehler in den anderen Apps.
Gruss
Koda
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 529286
Url: https://administrator.de/contentid/529286
Printed on: April 24, 2024 at 23:04 o'clock
11 Comments
Latest comment
Hallo,
klingt, als wenn Du nicht das Stammzertifikat (ohne privaten Schlüssel) exportiert hast.
Gruß,
Jörg
klingt, als wenn Du nicht das Stammzertifikat (ohne privaten Schlüssel) exportiert hast.
Gruß,
Jörg
Das Zertifikat erscheint dann auch in den Nutzeranmeldedaten mit dem Vermerkt "Für VPN und Apps installiert".
FalschNun erscheint es zusätzlich unter "Vertrauenswürdige Anmeldedaten" und dort unter "Nutzer
Falsch.Es muss in den Systemeinstellungen als echte CA importiert werden damit es im richtigen Speicher landet.
Meist unter System > Sicherheit > Vertrauenswürdige Zertifikate aus Speicher installieren oder ähnlich.
EDIT: Nun habe ich noch das Root CA als .cer exportiert ohne privat Key
Naja das sollte ja selbstverständlich sein, wer den "private Key "einer CA auf einem Client importieren will der hat das Prinzip Zertifizierungstelle absolut nicht kapiert!!
Danke für eure Antworten.
FA-jka: Es ist definitiv das Root CA. Habe es anhand des Fingerprints sowie dem Verfall nochmals geprüfte.
serial: ich habe es mit und ohne privat key versucht, da es unter anderem so in einer sehr alten Anleitung Stand man solle das versuchen. Find sie grad leider nicht mehr zum verlinken. Aber ja ich verstehe in dieser Material sicher noch nicht all zu viel. Daher sind es auch Evaluierungsversionen als Tests sind. Ich habe es genau so importiert wie du es auch hier beschrieben hast. Das Zertifikat wird dann an genau der von mir genannten Stelle angezeigt unter Android pie. Es heisst einfach Sicherheit - Verschlüsselung und Anmeldedaten - und dort gibt es dann nur noch Vertrauenswürdige Anmeldedaten wo ich es importieren kann.
Vertrauenswürdige Zertifikate mit diesem Begriff scheint es nicht zu geben.
Edit: hier klingt es so als ob es gar nicht geht mit den apps https://support.google.com/nexus/answer/2844832?hl=de
FA-jka: Es ist definitiv das Root CA. Habe es anhand des Fingerprints sowie dem Verfall nochmals geprüfte.
serial: ich habe es mit und ohne privat key versucht, da es unter anderem so in einer sehr alten Anleitung Stand man solle das versuchen. Find sie grad leider nicht mehr zum verlinken. Aber ja ich verstehe in dieser Material sicher noch nicht all zu viel. Daher sind es auch Evaluierungsversionen als Tests sind. Ich habe es genau so importiert wie du es auch hier beschrieben hast. Das Zertifikat wird dann an genau der von mir genannten Stelle angezeigt unter Android pie. Es heisst einfach Sicherheit - Verschlüsselung und Anmeldedaten - und dort gibt es dann nur noch Vertrauenswürdige Anmeldedaten wo ich es importieren kann.
Vertrauenswürdige Zertifikate mit diesem Begriff scheint es nicht zu geben.
Edit: hier klingt es so als ob es gar nicht geht mit den apps https://support.google.com/nexus/answer/2844832?hl=de
Zitat von @KodaCH:
serial: ich habe es mit und ohne privat key versucht, da es unter anderem so in einer sehr alten Anleitung Stand man solle das versuchen.
So eine Anleitung ist natürlich Schrott, der private Key einer CA hat auf einem Client absolut nichts zu suchen, das sagt einem aber schon der gesunde Menschenverstand wenn man zumindest mal die absoluten Basics von Public Key Authentifizierung verstanden hat! Ein kompromitierter private Key deiner CA macht deine CA überflüssig denn dann kann jeder eigene Zertifikate damit ausstellen. Also vergess das ganz schnell wieder, das ist Humbug.serial: ich habe es mit und ohne privat key versucht, da es unter anderem so in einer sehr alten Anleitung Stand man solle das versuchen.
Es heisst einfach Sicherheit - Verschlüsselung und Anmeldedaten - und dort gibt es dann nur noch Vertrauenswürdige Anmeldedaten wo ich es importieren kann.
OK, wenn es dort als CA angezeigt wird ist das OK.Edit: hier klingt es so als ob es gar nicht geht mit den apps https://support.google.com/nexus/answer/2844832?hl=de
Naja wenn die APP nicht mit selbsignierten CAs klarkommt musst du sie entweder neu schreiben(lassen) und ihr das beibringen, oder wenn du das nicht kannst besorge dir ein gültiges Zertifikat einer der diversen Zertifizierungsstellen.Webseiten dagegen die über Browser wie Chrome/FF aufgerufen werden sollten dir aber nach einem Import der CA als vertrauenswürdig angezeigt werden, wenn dies auch manchmal noch mit einem zusätzlichen Klick bestätigt werden muss das man dem Webserver-Zertifikat tatsächlich vertraut.
Beim Webserver und Chrome auf Android funktioniert es. Das ist OK.
Und das Gerät roten möchte ich nicht. Hätte gedacht das müsste doch gehen diese als System Zertifikate einzulesen
Und das Gerät roten möchte ich nicht. Hätte gedacht das müsste doch gehen diese als System Zertifikate einzulesen
Zitat von @KodaCH:
Und das Gerät roten möchte ich nicht. Hätte gedacht das müsste doch gehen diese als System Zertifikate einzulesen
Nein. Das wäre ja eine Sicherheitslücke hoch drei wenn jeder die SYSTEM-CAs manipulieren könnte.Und das Gerät roten möchte ich nicht. Hätte gedacht das müsste doch gehen diese als System Zertifikate einzulesen
Das ist natürlich richtig. Aber sehr schade das es auf Android nicht möglich ist das die Apps damit laufe
Liegt ja nicht an Android sondern den Apps die das eben nicht berücksichtigen 
.
.
Hallo,
im Gegenteil - ein Telefon, dass derart grundlegende Funktionen nicht anbietet ist quasi „handlungsunfähig“.
Zumal es definitiv kein Sicherheitsloch ist. Das Telefon fragt ja vor dem Import.
Eventuell muss man das in den Entwickleroptionen freigeben.
Gruß,
Jörg
im Gegenteil - ein Telefon, dass derart grundlegende Funktionen nicht anbietet ist quasi „handlungsunfähig“.
Zumal es definitiv kein Sicherheitsloch ist. Das Telefon fragt ja vor dem Import.
Eventuell muss man das in den Entwickleroptionen freigeben.
Gruß,
Jörg
Das sehe ich eben auch so. Ich meine in einer Produktiven Umgebung wäre das noch relevant für Firmen mit eigener CA
Ich habe nun mal den Entwicklermodus aktiviert. Leider scheint es da drin keine entsprechende Option zu geben.
Ggf hat ja noch jemand ideen
Ich habe nun mal den Entwicklermodus aktiviert. Leider scheint es da drin keine entsprechende Option zu geben.
Ggf hat ja noch jemand ideen
Zitat von @117471:
Hallo,
im Gegenteil - ein Telefon, dass derart grundlegende Funktionen nicht anbietet ist quasi „handlungsunfähig“.
Das hat es ja auch nur lassen sich die Zertifikate die Android selbst von Haus aus mitbringt und verwaltet nicht manipulieren.Hallo,
im Gegenteil - ein Telefon, dass derart grundlegende Funktionen nicht anbietet ist quasi „handlungsunfähig“.
Eventuell muss man das in den Entwickleroptionen freigeben.
Nein muss man nicht, das Importieren von eigenen CAs geht ja wie oben schon geschrieben out of the box. Das Problem ist hier ja das die Apps entweder die zusätzlich importierten CA Zertifikate berücksichtigen können oder eben nicht, das bleibt den App-Entwicklern freigestellt. Somit ist das wie gesagt kein Android Problem sondern vorrangig ein App-Problem.
