Installation von CAs und Client-Zertifikaten in Android
Installation von CAs und Client-Zertifikaten in Android
Die folgenden Schritte beziehen sich auf "reines" Android 7 (Nexus 9) bzw. Android 6 (Nexus 5) und den Browser Chrome, sollten aber für alle halbwegs aktuellen Android-Versionen gleichermassen gelten.
Vorbereitung: Display-Sperre einrichten
Android besteht für den Import von Zertifikaten auf einer Display-Sperre, z.B. PIN oder Passwort. Es empfiehlt sich dies vor den folgenden Schritten einzurichten.
Tip Android 6: Zertifkatskette im PKCS12-Format importierten
Unter Android 6 hatten wir Probleme CAs zu importieren. Stattdessen konnten wir eine PKCS12-Datei (.p12
) importieren die alles enthält (Root-CA, Sub-CA, Zertifikat und private key).
Root-CA importieren
Im Browser Chrome die Root-CA als .crt
(weil .pem
nicht erkannt wird) ankicken.
Es erscheint ein Dialog "Zertifikat bennen", z.B. "Projekt xy Root-CA 2016" oder "Projekt xy Root-CA S1", ... eingeben.
"Verwendung und Anmeldedaten": "VPN und Apps" belassen.
"OK".
Evtl. verlangt Androd jetzt eine PIN oder ein Passwort für die Display-Sperre festzulegen.
Etwaige Sub-CA(s) importieren
Analog Root-CA, aber eben mit Sub-CA (z.B. Projekt_SubCA.crt
) und natürlich einen entsprechend anderen Namen vergeben, z.B. "Projekt xy SubCA 2016", "Projekt xy SubCA 1".
Import der CAs prüfen bzw. Zertifikat-Manager starten
Im den Einstellungen (volle Ansicht) unter "Nutzer" auf "Sicherheit".
Unter "Anmeldedatenspeicher" auf "Vertrauenswürdige Anmeldedaten".
Auf Reiter "Nutzer" klicken.
Hier sollten (evtl. mit ein paar Minuten Verspätung!) die importierten CAs aufscheinen.
Client-Zertifikat importieren
Zertifikatspaket in Browser oder Dateibrowser (z.B. USB-Stick an OTG-Adapter) anklicken.
Ggfs im Dialog "Zertifikat extrahieren": Passwort des Zertifikats bzw. Zertifikat/Key-Paketes eingeben.
Dialog "Zertifikat benennen": z.B. "Projekt xy Client-Zertfiikat 2016" oder "Projekt xy Client-Zertfiikat", ... eingeben.
"OK".
Verwendung eines Client-Zertifikats
Wenn man sich das erste Mal (z.B. via Browser oder Mail-Programm) mit dem Client-Zertifikat-geschützten Dienst verbindet frägt das Progamm danach welches Client-Zertifikat zur Identifizerung benutzt werden soll.
Dabei muss natürlich das passende ausgewählt werden ;-)