Diverse Fragen zu Zertifikaten

[mgreiner]

Hallo zusammen,

ich beobachte die Problematik mit dem Zertifikatsimport schon seit über einem Jahr. Auf Arbeit verwenden wir eine web-basierte Kundendatenbank. Der Log-In Prozess ist zusätzlich zum Benutzernamen und Kennwort noch an ein individuelles Benutzerzertifikat (.pfx) gebunden. An allen Desktop PC (bzw. Browsern) und Windows Phone Geräten funktioniert das auch sehr gut. Nur mit Apple und Android hatten wir zu Beginn Probleme. Zwar klappte die Installation, jedoch erhielt ich bei der Anmeldung immer die Fehlermeldung, dass kein Zertifikat vorhanden sei. Doch seit ca. drei Monaten ist auch das Apple-Problem gelöst (ohne unser Zutun).

Ich habe auf das Adroid Update gewartet und gehofft, dass unser Problem damit auch behoben ist. Leider Fehlanzeige.

Vorgehen: Ich kann die Datei importieren und den benötigten Sicherheitsschlüssel eingeben. Anschließend kann ich mir das installierte Zertifikat auch unter: Sicherheit --> Vertrauenswürd. Berechtigungen --> Benutzer anzeigen lassen.

Mögliches Problem: Wenn ich die Detail des Zertifikats im Android und an meinem Desktop PC (Firefox) vergleiche, fällt mir auf, dass alle Feldinhalte falsch sind. Beispielsweise steht im Feld Gültigkeit - Ausgestellt am: ein völlig anderes Datum drin.

Ich glaube, dass Android vielleicht ein falsches Trennzeichen beim Import verwendet. Auf jeden Fall kann die Anmeldung so nicht funktionieren, weil ja völlig falsche Werte übergeben werden müssen.

Hat jemand eine Idee bzw. gibt es eine Stelle, an die ich diesen Bug melden kann?

Vielen Dank vorab.

 

[deteros]

Zuerst habe ich folgendes versucht:
- das cacert wurzelzertifikate im PEM Format als root.crt heruntergeladen,
- auf die SD-Karte kopiert
- mit "Systemeinstellungen / Standort und Sicherheit / Abschnitt Speichern der Berechtigungen /
Von SD-Karte installieren" installiert

Anmerkung: das Kopieren des Zertifikates auf die SD-Karte kann man sich sparen, wenn man eine crt Datei im Browser anklickt - bei cacert.org z.B. auf der Seite Wurzelzertifikate. Das Ergebnis bleibt dasselbe.

Der ursprüngliche Beitrag von 12:31 Uhr wurde um 12:39 Uhr ergänzt:

Geht das mit Android 4?

Heute hatte ich die Gelegenheit, den Import des cacert Wurzelzertifikates auf einem Android 4.0.3 auszuprobieren: Anklicken des crt Wurzelzertifikates im Browser importiert das Zertifikat, und dieses kann unter Einstellungen > Sicherheit > Vertrauenswürdige Anmeldedaten > Nutzer eingesehen werden.

Mit dem cacert signierte Webseiten werden als vertauenswürdig erkannt.
Super, dicker Pluspunkt für Android 4!

 

[adsdsa]

Speichere es nicht in einem Ordner sondern direkt im root Verzeichnis.

Wie ist denn das Root-Verzeichnis original benannt? Einfach nur "root"?

 

[Geistesblitz]

Bei mir war das gewünschte Zertifikat bereits installiert. Zum Glück, denn ich konnte das Zertifikat auch nicht hinzufügen.
Jedenfalls bin ich nun "drin".

 

[fanatiXalpha]

ich hab mal ne frage:
sieht man den dieses wurzelzertifikat denn?
weil ich muss bei mir fürs eduroam 3 wurzelzertifikate runterladen (und es kam auch jedes mal die meldung, er hätte es installiert)
eins von der hochschule
eins vom dfn
und eins von der telekom

das ca von der hochschule und des dfn kann ich sehen.
nur taucht bei mir unter Sicherheit -> Alle Zertifikate verwalten -> Nutzer-Ca's das CA von der Telekom nicht auf

ist das normal das ich das nicht sehe? im download ordner ist es, nur nicht die anderen beiden
weil davor konnte ich mich ins eduroam einloggen, jetzt nach flash auf 40er FW geht das nicht mehr, obwohl ich mir wieder die zertifikate geholt hab.
Nur fehlt in der Liste eben jenes Wurzel-/Stammzertifikat der Telekom.

PS: das ganze findet man hier
ich selber hab das über den ganz unteren link geladen. also der aus dem text

 

[Patschi]

Hallo,

ich suche nun seit einigen Minuten nach einer Möglichkeit, das StartSSL Zertifikat (https://www.startssl.com/certs/ca.crt) in die vertrauenswürdige Liste von Android zu bekommen. Ich habe bereits einige Methoden gefunden, nur hatten diese nicht funktioniert, da die Datei "/system/etc/security/cacerts.bks" nicht existiert.

Ich habe das Samsung Galaxy S3 mit Cyanogenmod 10.1.

Vielen Dank für eure Hilfe!

 

[Anturix]

Moin

Die CA sollte auch im CM10.1 zu finden sein (StartCom Ltd.)

Anturix

 

[Patschi]

Anscheinend leider nicht... Habe das Free Zertifikat und wenn ich meine Seite mit SSL Besuche, warnt mich Google Chrome wegen eines nicht vertrauenswürdigen Sicherheitszertifikates...

Habe die CM Version vom 30.03.

 

[Patschi]

Leider bisher noch immer keine verwertbare Lösung gefunden...

 

[Anturix]

Moin

Anscheinend leider nicht... Habe das Free Zertifikat und wenn ich meine Seite mit SSL Besuche, warnt mich Google Chrome wegen eines nicht vertrauenswürdigen Sicherheitszertifikates...

a) Hast Du kontrolliert, ob das StartCom Root Certificate bei Dir installiert ist?
b) Vermutlich liefert dein Webserver kein oder das falsche Intermediate Certificate aus.

Anturix

 

[Patschi]

Beim Google Chrome am Computer geht es, daher würde ich sagen, ja. Es geht um eine Homepage, die auch hier in meinem Profil eingetragen ist. https://pkern.at

Nur kommt Wordpress oder ein Plugin nicht mit HTTPS klar, deshalb ist die Seite sehr zerformatiert... Werde ich die Tage mal checken.

 

[Anturix]

Moin

Du lieferst noch das alte Intermediate Certificate aus.
Das ist abgelaufen (Not After : Feb 28 03:40:04 2013 GMT)

Da auf deinem PC aber das korrekte Intermediate Certificate installiert ist, funktioniert es trotzdem.
Im Android ist aber nur das Root-Certificate installiert. Deshalb prüft er gegen das mitgelieferte Intermediate Certificate und die Prüfung schlägt natürlich fehl.

Anturix

 

[Patschi]

Euhm ja. Nun die Frage: Wie beheb ich das?
Der Webserver kann nur eine .CRT und eine .KEY ausliefern, sonst nichts.

 

[Anturix]

Moin

Wie machst Du es denn jetzt?

Du packst dein Intermediate Certifikate und das Server Certificate zusammen in die .crt Datei rein.

Anturix

 

[Patschi]

Die .crt hab ich fertig von StartSSL heruntergeladen - mehr nicht. Auch andere Seiten mit StartSSL Zertifikat, die nicht einmal seit einem Jahr signiert sind, zeigen die Warnung am Handy an.

 

[Patschi]

Hat jemand eine Lösung?

 

[Anturix]

Moin Patschi

Welchse Problem hast Du denn noch?
In dem Thread stehen alle Informationen, die Du brauchst um das Zertifikat korrekt auszuliefern.

Anturix

P.S.: Das ROOT-Zertifikat ist im CM10.1 definitiv enthalten.

 

[Patschi]

Ja, aber dennoch verstehe ich nicht, wie ich die .crt korrekt ausliefern lassen soll. Die .crt Datei hab ich von der StartSSL Seite heruntergeladen...

Und mit welchen Root-Zertifikat muss ich es kombinieren? Da gibt's ziemlich viele: Index of /certs

Danke für deine Hilfe!

 

[jochen35]

Hallo,

für FSyncMS muss ich das Zertifikat (Wildcard) meines Webservers in Andorid 4.1.1 importieren. Der Import als *.pfx oder *.p12 funktioniert ohne Probleme. Doch das importierte Zertifikat wird nicht unter "Einstellungen > Sicherheit > Vertrauensw. Anmeldedaten > Nutzer" und auch nicht unter System angezeigt. Da der Menüpunkt "Einstellungen > Sicherheit > Anmeldedaten löschen" aktiv ist, scheint auch tatsächlich ein importiertes Zertifikat vorhanden zu sein.

Was mache ich falsch bzw. warum wird das zertifikat nicht angezeigt?

Gruß
Jochen

 

[1of16]

den Artikel kennt du: StartSSL ?
Bzw. hast du dementsprechend das Zertifikat eingebunden?