dbox3
Goto Top

Zertifikatimport zu Android v13 Fehler

Hallo zusammen!
Ich versuche seit knapp einer Woche ein Zertifikat für die IKEv2-VPN-Verbindung auf meinem Samsung Note 20 Android v13 und Zyxel ISG-20 zu installieren. Erstellt habe ich es auf meiner Unternehmens-PKI, Anforderung dazu zuvor mit Open-SSL erstellt mit folgenden Befehlen:

openssl req -new -out dom.selfhost.eu.csr -key dom.selfhost.eu.key -config req.conf

Inhalt der reg.config:
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
C = DE
ST = NS
L = Stadt
O = Meine Unternehmen
OU = IT
CN = dom.selfhost.eu
emailAddress = ich@dom.de
[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = dom.selfhost.eu
DNS.2 = XX.XXX.XXX.XX
danach die csr-Datei über Web-Certsrv eingereicht und als Base 64 gespeichert, dann:

openssl pkcs12 -export -out dom.selfhost.eu.p12 -inkey dom.selfhost.eu.key -in dom.selfhost.eu.cer

Mit der Zyxel habe ich keine Schwierigkeiten das p12_Zertifikat einzuspielen. Bei Samsung bekomme ich die ganze Zeit Fehler beim Installieren des Zertifikats über angeblich falsches Passwort. Das Kuriose dabei ist, dass ich vor längerer Zeit auf die gleiche Weise mehrere Zertifikate (erstellt über die selbe Zertifikatvorlage) auf dem selben Samsung bereits erfolgreich installiert habe. Wenn ich dass Zertifikat aus der USG exportiere, geht vorerst der Import im Samsung dann, am Ende bekomme ich aber: Zertifikat nicht importiert. Ich habe zig Beiträge hier und woanders gelesen, komme jedoch nicht auf die Lösung. Hat jemand eine Erklärung für das Verhalten.
Danke

Content-Key: 5595425065

Url: https://administrator.de/contentid/5595425065

Printed on: February 25, 2024 at 11:02 o'clock

Mitglied: 5175293307
5175293307 Jan 24, 2023 updated at 07:05:03 (UTC)
Goto Top
Beim PKCS12 Export gibt es Unterschiede in der Kompatibilität der Verschlüsselungsarten des Containers ...
P12 zertifikat auf aktuelle Linux-Server kann auf IIS nicht importiert werden (Angeblich falsches Kennwort)
Ich würde auch die Chain mal im Container inkludieren, oder vorher das CA Cert separat importieren falls obiges nicht hilft.

Wurstel
Member: dbox3
dbox3 Jan 24, 2023 at 08:16:56 (UTC)
Goto Top
Danke für den Tipp. Das CA-Cert ist aber bereits auf dem Android vorhanden. face-sad
Mitglied: 5175293307
5175293307 Jan 24, 2023 updated at 08:37:01 (UTC)
Goto Top
Dann probier den alternativen Export wie im Link beschrieben.
Ein Zertifikata-Import klappt hier auf Android 13 einwandfrei, also ist entweder der Container Schrott/inkompatibel, dein Zertifikat entspricht nicht den Anforderungen oder Samsung hat's verbockt.
Mitglied: 5175293307
5175293307 Jan 24, 2023 updated at 09:00:22 (UTC)
Goto Top
Öhm fällt dir da nix auf...?!
extendedKeyUsage = serverAuth
Da fehlt clientAuth wenn du dich damit einem Server gegenüber als Client ausgeben willst, du willst ja auf dem Smartphone sicher nicht einen Server betreiben ...
Also wie vermutet, PEBKAC.
Member: dbox3
dbox3 Jan 24, 2023 at 09:59:59 (UTC)
Goto Top
OK. Klingt sehr logisch. Ich glaube zwar, bei den früheren Importen habe ich die reg.conf nicht geändert und es hat funktioniert. Ich versuche es heute Nachmittag mit inkludiertem clientAuth und melde mich dann. Danke
Member: dbox3
dbox3 Jan 24, 2023 at 10:38:40 (UTC)
Goto Top
Habe versucht, leider mit dem gleichen Ergebnis. Was sind die aktuellen Anforderungen von Samsung? Keylänge habe ich mit 2048 eingestellt (habe aber auch mit 4092 probiert).