kodach
Goto Top

Windows Server CA und Android Geräte

Hallo zusammen

Kennt sich jemand mit Windows Server CA und Android Geräten aus?

Ich habe in der CA mein Root Zertifikat exportiert, das ganze auf dem Android Gerät hochgeladen und installiert. Das Zertifikat erscheint dann auch in den Nutzeranmeldedaten mit dem Vermerkt "Für VPN und Apps installiert".

Trotz neustart wird mir eine Webseite im Chrome jedoch mit "ERR_CERT_AUTHORITY_INVALID" quitiert, und in einer App erhalte ich die Meldung "java.serucirty.cert.CertPathValidatorException: Trust anchro for certification path not found.".

Nun frage ich mich jedoch wo der Fehler sein könnte. Muss das Zertifikat auf einem Android Gerät noch irgendwie anders installiert werden? Ich habe gelesen das sei nur wenn das Root Zertifikat ungültig ist. Dies ist es jedoch kaum da es bei Windows funktioniert, und auch auf Linux scheint es zu funktioneren. Ein
openssl s_client -connect mysite.com:port
gibt keine Fehler aus.

EDIT: Nun habe ich noch das Root CA als .cer exportiert ohne privat Key und auf dem Android Gerät installiert. Nun erscheint es zusätzlich unter "Vertrauenswürdige Anmeldedaten" und dort unter "Nutzer". Im Browser wird es nun als gültig angezeigt. Jedoch bleibt der Java Fehler in den anderen Apps.

Gruss

Koda

Content-ID: 529286

Url: https://administrator.de/forum/windows-server-ca-und-android-geraete-529286.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

117471
117471 23.12.2019 um 10:29:51 Uhr
Goto Top
Hallo,

klingt, als wenn Du nicht das Stammzertifikat (ohne privaten Schlüssel) exportiert hast.

Gruß,
Jörg
142232
142232 23.12.2019 aktualisiert um 10:36:22 Uhr
Goto Top
Das Zertifikat erscheint dann auch in den Nutzeranmeldedaten mit dem Vermerkt "Für VPN und Apps installiert".
Falsch
Nun erscheint es zusätzlich unter "Vertrauenswürdige Anmeldedaten" und dort unter "Nutzer
Falsch.
Es muss in den Systemeinstellungen als echte CA importiert werden damit es im richtigen Speicher landet.
Meist unter System > Sicherheit > Vertrauenswürdige Zertifikate aus Speicher installieren oder ähnlich.

EDIT: Nun habe ich noch das Root CA als .cer exportiert ohne privat Key
Naja das sollte ja selbstverständlich sein, wer den "private Key "einer CA auf einem Client importieren will der hat das Prinzip Zertifizierungstelle absolut nicht kapiert!!
KodaCH
KodaCH 23.12.2019 aktualisiert um 11:04:37 Uhr
Goto Top
Danke für eure Antworten.
FA-jka: Es ist definitiv das Root CA. Habe es anhand des Fingerprints sowie dem Verfall nochmals geprüfte.

serial: ich habe es mit und ohne privat key versucht, da es unter anderem so in einer sehr alten Anleitung Stand man solle das versuchen. Find sie grad leider nicht mehr zum verlinken. Aber ja ich verstehe in dieser Material sicher noch nicht all zu viel. Daher sind es auch Evaluierungsversionen als Tests sind. Ich habe es genau so importiert wie du es auch hier beschrieben hast. Das Zertifikat wird dann an genau der von mir genannten Stelle angezeigt unter Android pie. Es heisst einfach Sicherheit - Verschlüsselung und Anmeldedaten - und dort gibt es dann nur noch Vertrauenswürdige Anmeldedaten wo ich es importieren kann.
Vertrauenswürdige Zertifikate mit diesem Begriff scheint es nicht zu geben.

Edit: hier klingt es so als ob es gar nicht geht mit den apps https://support.google.com/nexus/answer/2844832?hl=de
142232
142232 23.12.2019 aktualisiert um 12:13:15 Uhr
Goto Top
Zitat von @KodaCH:
serial: ich habe es mit und ohne privat key versucht, da es unter anderem so in einer sehr alten Anleitung Stand man solle das versuchen.
So eine Anleitung ist natürlich Schrott, der private Key einer CA hat auf einem Client absolut nichts zu suchen, das sagt einem aber schon der gesunde Menschenverstand wenn man zumindest mal die absoluten Basics von Public Key Authentifizierung verstanden hat! Ein kompromitierter private Key deiner CA macht deine CA überflüssig denn dann kann jeder eigene Zertifikate damit ausstellen. Also vergess das ganz schnell wieder, das ist Humbug.
Es heisst einfach Sicherheit - Verschlüsselung und Anmeldedaten - und dort gibt es dann nur noch Vertrauenswürdige Anmeldedaten wo ich es importieren kann.
OK, wenn es dort als CA angezeigt wird ist das OK.
Edit: hier klingt es so als ob es gar nicht geht mit den apps https://support.google.com/nexus/answer/2844832?hl=de
Naja wenn die APP nicht mit selbsignierten CAs klarkommt musst du sie entweder neu schreiben(lassen) und ihr das beibringen, oder wenn du das nicht kannst besorge dir ein gültiges Zertifikat einer der diversen Zertifizierungsstellen.

Webseiten dagegen die über Browser wie Chrome/FF aufgerufen werden sollten dir aber nach einem Import der CA als vertrauenswürdig angezeigt werden, wenn dies auch manchmal noch mit einem zusätzlichen Klick bestätigt werden muss das man dem Webserver-Zertifikat tatsächlich vertraut.
KodaCH
KodaCH 23.12.2019 um 12:46:52 Uhr
Goto Top
Beim Webserver und Chrome auf Android funktioniert es. Das ist OK.

Und das Gerät roten möchte ich nicht. Hätte gedacht das müsste doch gehen diese als System Zertifikate einzulesen
142232
142232 23.12.2019 aktualisiert um 12:57:49 Uhr
Goto Top
Zitat von @KodaCH:
Und das Gerät roten möchte ich nicht. Hätte gedacht das müsste doch gehen diese als System Zertifikate einzulesen
Nein. Das wäre ja eine Sicherheitslücke hoch drei wenn jeder die SYSTEM-CAs manipulieren könnte.
KodaCH
KodaCH 23.12.2019 um 14:39:21 Uhr
Goto Top
Das ist natürlich richtig. Aber sehr schade das es auf Android nicht möglich ist das die Apps damit laufe
142232
142232 23.12.2019 aktualisiert um 14:41:04 Uhr
Goto Top
Liegt ja nicht an Android sondern den Apps die das eben nicht berücksichtigen face-smile.
117471
117471 23.12.2019 um 15:02:27 Uhr
Goto Top
Hallo,

im Gegenteil - ein Telefon, dass derart grundlegende Funktionen nicht anbietet ist quasi „handlungsunfähig“.

Zumal es definitiv kein Sicherheitsloch ist. Das Telefon fragt ja vor dem Import.

Eventuell muss man das in den Entwickleroptionen freigeben.

Gruß,
Jörg
KodaCH
KodaCH 23.12.2019 um 16:02:15 Uhr
Goto Top
Das sehe ich eben auch so. Ich meine in einer Produktiven Umgebung wäre das noch relevant für Firmen mit eigener CA

Ich habe nun mal den Entwicklermodus aktiviert. Leider scheint es da drin keine entsprechende Option zu geben.

Ggf hat ja noch jemand ideen
142232
142232 23.12.2019 aktualisiert um 18:25:36 Uhr
Goto Top
Zitat von @117471:

Hallo,

im Gegenteil - ein Telefon, dass derart grundlegende Funktionen nicht anbietet ist quasi „handlungsunfähig“.
Das hat es ja auch nur lassen sich die Zertifikate die Android selbst von Haus aus mitbringt und verwaltet nicht manipulieren.
Eventuell muss man das in den Entwickleroptionen freigeben.
Nein muss man nicht, das Importieren von eigenen CAs geht ja wie oben schon geschrieben out of the box. Das Problem ist hier ja das die Apps entweder die zusätzlich importierten CA Zertifikate berücksichtigen können oder eben nicht, das bleibt den App-Entwicklern freigestellt. Somit ist das wie gesagt kein Android Problem sondern vorrangig ein App-Problem.