6
Zertifikatimport zu Android v13 Fehler
Hallo zusammen!
Ich versuche seit knapp einer Woche ein Zertifikat für die IKEv2-VPN-Verbindung auf meinem Samsung Note 20 Android v13 und Zyxel ISG-20 zu installieren. Erstellt habe ich es auf meiner Unternehmens-PKI, Anforderung dazu zuvor mit Open-SSL erstellt mit folgenden Befehlen:
Inhalt der reg.config:
danach die csr-Datei über Web-Certsrv eingereicht und als Base 64 gespeichert, dann:
Mit der Zyxel habe ich keine Schwierigkeiten das p12_Zertifikat einzuspielen. Bei Samsung bekomme ich die ganze Zeit Fehler beim Installieren des Zertifikats über angeblich falsches Passwort. Das Kuriose dabei ist, dass ich vor längerer Zeit auf die gleiche Weise mehrere Zertifikate (erstellt über die selbe Zertifikatvorlage) auf dem selben Samsung bereits erfolgreich installiert habe. Wenn ich dass Zertifikat aus der USG exportiere, geht vorerst der Import im Samsung dann, am Ende bekomme ich aber: Zertifikat nicht importiert. Ich habe zig Beiträge hier und woanders gelesen, komme jedoch nicht auf die Lösung. Hat jemand eine Erklärung für das Verhalten.
Danke
Ich versuche seit knapp einer Woche ein Zertifikat für die IKEv2-VPN-Verbindung auf meinem Samsung Note 20 Android v13 und Zyxel ISG-20 zu installieren. Erstellt habe ich es auf meiner Unternehmens-PKI, Anforderung dazu zuvor mit Open-SSL erstellt mit folgenden Befehlen:
openssl req -new -out dom.selfhost.eu.csr -key dom.selfhost.eu.key -config req.confInhalt der reg.config:
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
C = DE
ST = NS
L = Stadt
O = Meine Unternehmen
OU = IT
CN = dom.selfhost.eu
emailAddress = ich@dom.de
[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = dom.selfhost.eu
DNS.2 = XX.XXX.XXX.XXopenssl pkcs12 -export -out dom.selfhost.eu.p12 -inkey dom.selfhost.eu.key -in dom.selfhost.eu.cerMit der Zyxel habe ich keine Schwierigkeiten das p12_Zertifikat einzuspielen. Bei Samsung bekomme ich die ganze Zeit Fehler beim Installieren des Zertifikats über angeblich falsches Passwort. Das Kuriose dabei ist, dass ich vor längerer Zeit auf die gleiche Weise mehrere Zertifikate (erstellt über die selbe Zertifikatvorlage) auf dem selben Samsung bereits erfolgreich installiert habe. Wenn ich dass Zertifikat aus der USG exportiere, geht vorerst der Import im Samsung dann, am Ende bekomme ich aber: Zertifikat nicht importiert. Ich habe zig Beiträge hier und woanders gelesen, komme jedoch nicht auf die Lösung. Hat jemand eine Erklärung für das Verhalten.
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5595425065
Url: https://administrator.de/contentid/5595425065
Printed on: April 28, 2024 at 16:04 o'clock
6 Comments
Latest comment
Beim PKCS12 Export gibt es Unterschiede in der Kompatibilität der Verschlüsselungsarten des Containers ...
P12 zertifikat auf aktuelle Linux-Server kann auf IIS nicht importiert werden (Angeblich falsches Kennwort)
Ich würde auch die Chain mal im Container inkludieren, oder vorher das CA Cert separat importieren falls obiges nicht hilft.
Wurstel
P12 zertifikat auf aktuelle Linux-Server kann auf IIS nicht importiert werden (Angeblich falsches Kennwort)
Ich würde auch die Chain mal im Container inkludieren, oder vorher das CA Cert separat importieren falls obiges nicht hilft.
Wurstel
Danke für den Tipp. Das CA-Cert ist aber bereits auf dem Android vorhanden. 
Dann probier den alternativen Export wie im Link beschrieben.
Ein Zertifikata-Import klappt hier auf Android 13 einwandfrei, also ist entweder der Container Schrott/inkompatibel, dein Zertifikat entspricht nicht den Anforderungen oder Samsung hat's verbockt.
Ein Zertifikata-Import klappt hier auf Android 13 einwandfrei, also ist entweder der Container Schrott/inkompatibel, dein Zertifikat entspricht nicht den Anforderungen oder Samsung hat's verbockt.
Öhm fällt dir da nix auf...?!
Also wie vermutet, PEBKAC.
extendedKeyUsage = serverAuth
Da fehlt clientAuth wenn du dich damit einem Server gegenüber als Client ausgeben willst, du willst ja auf dem Smartphone sicher nicht einen Server betreiben ...Also wie vermutet, PEBKAC.
OK. Klingt sehr logisch. Ich glaube zwar, bei den früheren Importen habe ich die reg.conf nicht geändert und es hat funktioniert. Ich versuche es heute Nachmittag mit inkludiertem clientAuth und melde mich dann. Danke
Habe versucht, leider mit dem gleichen Ergebnis. Was sind die aktuellen Anforderungen von Samsung? Keylänge habe ich mit 2048 eingestellt (habe aber auch mit 4092 probiert).
