Installation von CAs und Client-Zertifikaten in Android

Installation von CAs und Client-Zertifikaten in Android

Die folgenden Schritte beziehen sich auf "reines" Android 7 (Nexus 9) bzw. Android 6 (Nexus 5) und den Browser Chrome, sollten aber für alle halbwegs aktuellen Android-Versionen gleichermassen gelten.

Vorbereitung: Display-Sperre einrichten

Android besteht für den Import von Zertifikaten auf einer Display-Sperre, z.B. PIN oder Passwort. Es empfiehlt sich dies vor den folgenden Schritten einzurichten.

Tip Android 6: Zertifkatskette im PKCS12-Format importierten

Unter Android 6 hatten wir Probleme CAs zu importieren. Stattdessen konnten wir eine PKCS12-Datei (.p12) importieren die alles enthält (Root-CA, Sub-CA, Zertifikat und private key).

Root-CA importieren

Im Browser Chrome die Root-CA als .crt (weil .pem nicht erkannt wird) ankicken.

Es erscheint ein Dialog "Zertifikat bennen", z.B. "Projekt xy Root-CA 2016" oder "Projekt xy Root-CA S1", ... eingeben.

"Verwendung und Anmeldedaten": "VPN und Apps" belassen.

"OK".

Evtl. verlangt Androd jetzt eine PIN oder ein Passwort für die Display-Sperre festzulegen.

Etwaige Sub-CA(s) importieren

Analog Root-CA, aber eben mit Sub-CA (z.B. Projekt_SubCA.crt) und natürlich einen entsprechend anderen Namen vergeben, z.B. "Projekt xy SubCA 2016", "Projekt xy SubCA 1".

Import der CAs prüfen bzw. Zertifikat-Manager starten

Im den Einstellungen (volle Ansicht) unter "Nutzer" auf "Sicherheit".

Unter "Anmeldedatenspeicher" auf "Vertrauenswürdige Anmeldedaten".

Auf Reiter "Nutzer" klicken.

Hier sollten (evtl. mit ein paar Minuten Verspätung!) die importierten CAs aufscheinen.

Client-Zertifikat importieren

Zertifikatspaket in Browser oder Dateibrowser (z.B. USB-Stick an OTG-Adapter) anklicken.

Ggfs im Dialog "Zertifikat extrahieren": Passwort des Zertifikats bzw. Zertifikat/Key-Paketes eingeben.

Dialog "Zertifikat benennen": z.B. "Projekt xy Client-Zertfiikat 2016" oder "Projekt xy Client-Zertfiikat", ... eingeben.

"OK".

Verwendung eines Client-Zertifikats

Wenn man sich das erste Mal (z.B. via Browser oder Mail-Programm) mit dem Client-Zertifikat-geschützten Dienst verbindet frägt das Progamm danach welches Client-Zertifikat zur Identifizerung benutzt werden soll.

Dabei muss natürlich das passende ausgewählt werden ;-)