Zertifikate richtig benutzen?

  • 11 Antworten
  • Neuester Beitrag
Diskutiere Zertifikate richtig benutzen? im Android Allgemein im Bereich Betriebssysteme & Apps.
M

mkl

Erfahrenes Mitglied
Hi Leute ich probiere gerade den exchange unserer Hochschule zu verbinden. Dazu muss ich ein Zertifikat:

https://www.hs-ulm.de/print/org/IMZ/rz/pki/

verwenden. Da ich schon auf der offiziellen Seite gelesen habe das man wohl das .der in ein .crt umwandeln muss hab ich das gleich so gemacht. Wenn ich nun unter Zertifikate schaue sehe ich das der Hochschule. Wenn ich jedoch in der Stock eMail-App CM10.1 auf Exchange gehe und auf Nutzer-Zertifikat klicke sehe ich kein Zertifikat?!? Ohne das Zertifikat bekomme ich nur immer die Info "Fertigstellen nicht möglich"

Habt ihr irgendwelche Ideen?

Gruß mkl

Edit: Screenshot http://db.tt/u6hgmyfE

Gesendet von meinem Galaxy Nexus mit der Android-Hilfe.de App
 
Zuletzt bearbeitet:
android-peter

android-peter

Fortgeschrittenes Mitglied
Hallo mkl,

ich muss gleich zu Beginn anmerken, dass ich mich zwar sehr gut mit X.509-Zertifikaten und auch in deren Nutzung durch S/MIME und TLS/SSL auskenne, aber ich kenne weder dein Smartphone noch deinen Mailclient. Habe ja selber "nur" ein SGS3 ... .

Ich gehe bei deiner Frage davon aus, dass es sich bei dir lediglich um die TLS/SSL-Verschlüsselung der Verbindung zu den betreffenden Mailservern handelt, und nicht um die end2end-Verschlüsselung deiner Mails per S/MIME.

In dem beigefügten Screenshot sehe ich, dass du lediglich das Zertifikat der eigenen CA der HS und nicht den kompletten Zertifikatsbaum installiert hast. In meinem Gerät (!) ist das root-Zertifikat (root-2) der Dt. Telekom bereits vorinstalliert, aber nicht das Zertifikat des DFN. Vermutlich fehlt das auch bei dir. Installiere das mal nach, bestimmt klappt es dann.


MfG Peter
 
M

mkl

Erfahrenes Mitglied
Erstmal danke für deine Antwort. Ich hab gesehen das bei mir das Telekom auch unter System schon vorhanden ist zum. taucht kein neues unter "Nutzer" auf auch wenn ich es installiere. Hab das DFN nun auch installiert aber immer wenn ich auf Zertifikate in der E-Mail App gehen sehe ich rein garnichts... Und ohne ein Zertifikat bekomm ich immer Fehlermeldungen...

Hast du noch ne Idee hab dir ma paar mehr Pics hinzugefügt.

Hab ein Galaxy Nexus + CyanogenMod 10.1 (Nightly)
 

Anhänge

android-peter

android-peter

Fortgeschrittenes Mitglied
Das, was du in deinem 2. Screenshot zeigst, ist nicht das Zertifikat von "Dt. Telekom root ca 2", sondern das von der CA von T-Systems. Auch wenn ebenso magentafarben, ist das doch was anderes.
Alle drei benötigten Zertifikate befinden sich auf der Webseite deiner HS.

Zum dritten Bild:
Ist es richtig, dass du einen Webmailzugang einrichten willst? Zumindest willst du lt. Screenshot auf einen Webmailserver zugreifen. (Ich kenne die Namen eurer Server nicht und will diese auch nicht wissen. Ich frage ja nur ...)

Dein dritter Screenshot verlangt eine eigene private Schlüsseldatei (.p12 oder .pfx). Das ist eine Datei, welche speziell für dich ausgestellt sein muss (mit deinem Namen oder/und deiner Mailadresse im Inhalt und natürlich deinem "geheimen" privaten Schlüssel)
Diese wird entweder benötigt zur Mailverschlüsselung per S/MIME oder evtl. auch zur sicheren Anmeldung deines Clients am Server.
Jetzt habe ich gelesen, dass euer kleines HS-eigenes "TrustCenter" überhaupt keine Nutzerzertifikate und die dazugehörenden Schlüsseldateien ausstellt.

Fragen über Fragen ... .

Deshalb folgende Hausaufgaben:


  1. Wie beschrieben, zuerst alle Zertifikate für die vollständige Vertrauenskette installieren. Dabei muss alles stimmen! Also überprüfe das wenn es sein muss anhand der Zertifikatsnummern oder zumindest dem exakten Namen und der Gültigkeitsdauern der Zertifikate. Es werden alle drei benötigt, sie stehen aber auf der Seite der HS.
  2. Klarmachen der Aufgabe! Du musst genau wissen, was du eigentlich willst. Webmail oder mit einem Mailclient arbeiten. Verschlüsselung der Verbindung zu dem/den Server/n (vermuitlich!) und/oder auch die Verschlüsselung deiner Mails mit S/MIME, wozu du auch ein persönliches Zertifikat benötigst (s. oben, eher unwahrscheinlich).
Und dann sehen wir weiter ... .




MfG Peter
 
M

mkl

Erfahrenes Mitglied
Also ich habe gerade Touchdown und Moxier ausprobiert. Beide bekommen die Verbindung hin ohne das ich Zertifikate benötige... Mir geht es eigentlich nur um die Push-Funktion. Hatte davor in K-9 Imap-Push aktiv was aber vermutlich nur ein "workaround" ist vermute ich mal... Denn soweit mir bekannt ist gibts kein push bei imap... Darum wollte ich diesen "workaround" durch die offizielle Push-Funktion von einer Exchange-Verbindung ersetzen... Aber ob mir das 15€ (Proversion von den beiden Apps) wirklich wert ist...

Gruß mkl

Gesendet von meinem Galaxy Nexus mit der Android-Hilfe.de App
 
android-peter

android-peter

Fortgeschrittenes Mitglied
Ja, genau das nenne ich das "Klarmachen der Aufgabe" .... .

Ob eine Verbindung verschlüsselt betrieben werden muss, wird einzig und allein durch den Betreiber des Servers entschieden und in dessen Konfiguration festgeschrieben. Und nur dann, wenn die Verschlüsselung optional ist, kannst du das mit der Konfiguration des Clients auswählen. Und da spielt es auch keine Rolle, welchen Client du dafür nutzt. Alle mir bekannten MUA können sowohl verschlüsselte als auch unverschlüsselte Verbindung zu den Servern herstellen. Zumindest zu POP3-/IMAP- und SMTP-Servern. Exchange "können" allerdings die wenigsten.
(Da die heutige "Generation Facebook" ja eh nichts mehr von Privatsphäre hält, kannst du auch alle Verbindung unverschlüsselt betreiben ... . Ich entscheide mich da wohl etwas anders.)


Und dann gehört zum Klarmachen der Aufgabe, exakt zu wissen, was du eigentlich willst.
Willst du das (IMHO gruselige) Webmail nutzen, deine Mails mit dem "guten alten" POP3 abholen oder mit dem modernen IMAP verwalten, oder willst/musst du einen Exchange-Server benutzen. Gerade bei letzterem kommt es auch darauf an, was die das RZ der HS bereitstellt. Es ist auch nicht unüblich, dass ein RZ fürs "Studentenvolk" einen ganz normalen POP3/IMAP-Server bereitstellt, und die Beschäftigten einen Exchange-Server.
Nur wissen musst du das! also Klarmachen ... .


Mir geht es eigentlich nur um die Push-Funktion. Hatte davor in K-9 Imap-Push aktiv was aber vermutlich nur ein "workaround" ist vermute ich mal... Denn soweit mir bekannt ist gibts kein push bei imap...
Wo hast du denn diese Weisheit her? Aus der Computer-B***?
Push gibt es nur bei IMAP! Aber nicht jeder Betreiber eines IMAP-Servers bietet dieses Feature an.
Oder wolltest du schreiben "der IMAP-Server unseres RZ bietet leider kein Push an"? Das klingt ganz anders ... .
(Mir ist kein IMAP-Server bekannt, welcher noch kein Push anbietet, aber ich muss ja nicht alles wissen.)

MfG Peter
 
Zuletzt bearbeitet:
M

mkl

Erfahrenes Mitglied
Mhhh da war ich wohl etwas falsch informiert. Hatte immer im Kopf das:

POP3: Emails beim aufrufen der App / Anwendung herunter lädt und nur bei gewählter Option eine Kopie auf dem Server lässt.

IMAP: Email-Header beim aufrufen der App / Anwendung herunter lädt und die originalen auf dem Server lässt.

Exchange: Emails nur bei Bedarf (neue Nachricht) an die App / Anwendung gesendet werden.

Ich hatte mich nicht wirklich mit der Materie beschäftigt dachte aber, dass wenn überhaupt IMAP-Push funktionieren sollte eine dauerhafte bzw. häufig abfragende Verbindung zum Server aufgebaut wird. Ala "hast du was? - nein - und jetzt? - nein - und jetzt? - ahhhhhh ja da ist was"
 
android-peter

android-peter

Fortgeschrittenes Mitglied
Na, so falsch ist das alles ja gar nicht ... .
Hier haben wir mal was dazu geschrieben:
Was für ein Konto soll ich einrichten - was ist der Unterschied zwischen IMAP und POP?

Oder anders ausgedrückt: Bei POP3 landen die Mails immer lokal auf dem Mailclient (werden normalerweise auf dem Server gelöscht, was aber eventuell unterdrückt werden kann) und bei IMAP bleiben die Mails auf dem Server und werden bei jedem Betrachten aufs neue heruntergeladen (was bei manchen MUA aber durch einen lokalen Cache durch Zwischenspeicherung elegant gelöst wird, so dass die Mails auch offline zur Verfügung stehen).

Per POP3 (unser Grufti, den ich schon fast 30 Jahre nutze ...) kannst du immer nur die Mails aus dem Posteingang holen, Unterordner siehst du per POP3 nicht. Hingegen bei IMAP kannst du alle auf dem Server angelegten Ordner durchsuchen und auf dem Client anzeigen. Alles, was du auf dem Client machst (neue Mails und neue Ordner, Löschen von Mails und Ordnern) wird in Wirklichkeit auf dem Server ausgeführt. Der Client zeigt "nur" an oder nimmt deine Befehle entgegen. IMAP kannst du auch wie eine Art Fernbedienung des Servers sehen.

Und Exchange ist eine proprietäre (also M$-eigene !) Lösung. Mit einem E.-Server kann auch nicht jeder Mailclient kommunizieren. Aber in erster Linie der darauf abgestimmte (und auch die volle Funktion ausnutzende!) Ausgugg und natürlich auch einige wenige Android-Apps. Aber bei weitem nicht alle!

Also => Wir sind immer noch bei den Hausaufgaben ... .
(Aber egal, was du machen willst, ich empfehle trotzdem die drei Zertifikate zu installieren um damit später die Verbindungen zu den Mailservern verschlüsseln zu können. Es gibt genug Neugierde auf der Welt!)

MfG Peter
 
M

mkl

Erfahrenes Mitglied
Hast du denn auch eine Idee wieso das einrichten des Exchange in Android selbst nicht klappt, moxier mail und touchdown es aber schaffen? Ich geh mal davon aus das an der Hochschule MS 2010 Server zum Einsatz kommen. Das k9mail mit 2010 anscheinend nicht klar kommt hab ich schon gelesen aber wieso die stock nicht?

Gesendet von meinem Galaxy Nexus mit der Android-Hilfe.de App
 
android-peter

android-peter

Fortgeschrittenes Mitglied
Meinst du nicht, dass du diese Frage an den Hersteller deines Smartphones stellen solltest?
Oder anders gesagt: Der von ihm mitgelieferte Mailclient kann das eben nicht. (Denke mal, dass damit mindestens 80% der Android-User auch keinerlei Probleme haben, weil sie nur IMAP oder POP3 nutzen!)
Und genau deswegen entwicklen eben andere Leute oder Firmen andere und bessere Apps, die das eben können.
Und wer eben etwas "mehr" oder "besseres" will, muss dann eben auch etwas dafür bezahlen. Deswegen habe ich mich eben für KAITEN entschieden und gern dafür bezahlt. (Auch ich nutze keinen Exchange-Server, weil ich auf meinem privaten Spielzeug alles, nur keine dienstlichen Mails haben will und zum Glück auch niemals haben darf.)

MfG Peter
 
M

mkl

Erfahrenes Mitglied
Naja ob ich später berufliche Mails via exchange haben darf / muss weis ich nicht. Ich habe nur festgestellt das k9 mit IMAP push in einem Monat ca 25mb benötigt und moxier mail gerade 5mb. Bei diesen bescheuerten 200mb Verträgen fällt das halt enorm ins Gewicht... Das doofe ist halt das moxier mir viel mehr bietet was ich nicht benötige... Finds halt strange dass es unter Konten Microsoft Exchange gibt aber mit 2010 anscheinend nicht funzt...

Gesendet von meinem Galaxy Nexus mit der Android-Hilfe.de App
 
android-peter

android-peter

Fortgeschrittenes Mitglied
Wie war doch gleich das Thema des Threads?
Ach ja, "Zertifikate richtig benutzen?"

Auch wenn wir jetzt absolut [OT] werden und auch auf das Risiko hin, von einem Mod eine "Abmahnung" zu bekommen, hier noch eine letzte Antwort von mir"

Ich finde es schon putzig, wenn sich die Leute ein teueres Smartphone kaufen (egal ob nach kurzen Nachrechnen in bar bezahlt oder mit einem überteuerten Mobilfunkvertrag abgestottert), und dann wird über das Krüppelkonto mit 200 MB/Monat geheult.
Also wenn ich bei jeder Mail, bei jeder Stunde Nutzung meines VPN oder gar jedem Download usw. schmerzlich an meinen "Kontostand" denken müsste, dann würde ich mir lieber wieder ein normales Handy kaufen. Ist dann stressärmer ... .
[/OT]
 
Ähnliche Themen - Zertifikate richtig benutzen? Antworten Datum
9
7
2