Zertifikatimport zu Android v13 Fehler

Hallo zusammen!
Ich versuche seit knapp einer Woche ein Zertifikat für die IKEv2-VPN-Verbindung auf meinem Samsung Note 20 Android v13 und Zyxel ISG-20 zu installieren. Erstellt habe ich es auf meiner Unternehmens-PKI, Anforderung dazu zuvor mit Open-SSL erstellt mit folgenden Befehlen:

openssl req -new -out dom.selfhost.eu.csr -key dom.selfhost.eu.key -config req.conf

Inhalt der reg.config:

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
C = DE
ST = NS
L = Stadt
O = Meine Unternehmen
OU = IT
CN = dom.selfhost.eu
emailAddress = ich@dom.de
[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = dom.selfhost.eu
DNS.2 = XX.XXX.XXX.XX

danach die csr-Datei über Web-Certsrv eingereicht und als Base 64 gespeichert, dann:

openssl pkcs12 -export -out dom.selfhost.eu.p12 -inkey dom.selfhost.eu.key -in dom.selfhost.eu.cer

Mit der Zyxel habe ich keine Schwierigkeiten das p12_Zertifikat einzuspielen. Bei Samsung bekomme ich die ganze Zeit Fehler beim Installieren des Zertifikats über angeblich falsches Passwort. Das Kuriose dabei ist, dass ich vor längerer Zeit auf die gleiche Weise mehrere Zertifikate (erstellt über die selbe Zertifikatvorlage) auf dem selben Samsung bereits erfolgreich installiert habe. Wenn ich dass Zertifikat aus der USG exportiere, geht vorerst der Import im Samsung dann, am Ende bekomme ich aber: Zertifikat nicht importiert. Ich habe zig Beiträge hier und woanders gelesen, komme jedoch nicht auf die Lösung. Hat jemand eine Erklärung für das Verhalten.
Danke

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 5595425065

Url: https://administrator.de/contentid/5595425065

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

6 Kommentare

Neuester Kommentar

Beim PKCS12 Export gibt es Unterschiede in der Kompatibilität der Verschlüsselungsarten des Containers ...
P12 zertifikat auf aktuelle Linux-Server kann auf IIS nicht importiert werden (Angeblich falsches Kennwort)
Ich würde auch die Chain mal im Container inkludieren, oder vorher das CA Cert separat importieren falls obiges nicht hilft.

Wurstel

Danke für den Tipp. Das CA-Cert ist aber bereits auf dem Android vorhanden.

Dann probier den alternativen Export wie im Link beschrieben.
Ein Zertifikata-Import klappt hier auf Android 13 einwandfrei, also ist entweder der Container Schrott/inkompatibel, dein Zertifikat entspricht nicht den Anforderungen oder Samsung hat's verbockt.

Öhm fällt dir da nix auf...?!

extendedKeyUsage = serverAuth

Da fehlt clientAuth wenn du dich damit einem Server gegenüber als Client ausgeben willst, du willst ja auf dem Smartphone sicher nicht einen Server betreiben ...
Also wie vermutet, PEBKAC.

OK. Klingt sehr logisch. Ich glaube zwar, bei den früheren Importen habe ich die reg.conf nicht geändert und es hat funktioniert. Ich versuche es heute Nachmittag mit inkludiertem clientAuth und melde mich dann. Danke

Habe versucht, leider mit dem gleichen Ergebnis. Was sind die aktuellen Anforderungen von Samsung? Keylänge habe ich mit 2048 eingestellt (habe aber auch mit 4092 probiert).

Frage Google Android Verschlüsselung, Zertifikate VPN

Mehr von dbox3

Arbeitsspeicher durch Oracledbox3 - 10 Kommentare

IMAP-Einstellungen Exchange 2019dbox3 - 17 Kommentare

Verbindung ESXi mit NAS über Fibre Channeldbox3 - 42 Kommentare

Datenträger werden nicht gefunden HP Proliantdbox3 - 6 Kommentare

Heiß diskutiert