802.1x-gesicherte WLANs ohne Anmeldeinformationsspeicher (Eclair)

J

Jollo

Ambitioniertes Mitglied
7
Was mich seit dem ersten Tag gestört hat ist der Anmeldeinformationsspeicher, dessen Sinn sich mir nicht erschließt.

Geeignet zur Ablage privater Schlüsselzertifikate zur E-Mail-Signierung und -Verschlüsselung steht dieser Funktion jedoch das Fehlen eines E-Mail-Clients gegenüber, der überhaupt im Stande wäre mit S/MIME-Zertifizierung umgehen zu können (Für gegenteilige Quellen wäre ich dankbar!).

Gänzlich sinnlos möchte dieser Speicher aber mit öffentlichen Zertifikaten gefüttert werden, bevor diese -- mindestens nach jedem Neustart -- unter Passwortabfrage benutzbar werden. Nach erfolgter Passwortprüfung scheint das wird im System so etwas wie einen Mountpoint namens keystore einzurichten unter dem dann die Zertifikate erreichbar werden.

Für alle, die z.B. damit ein generelles Problem mit diesem hinderlichem Ablageort von Root-Zertifikaten haben, seien Stichworte "cacerts.bks" und "keystore" ans Herz gelegt. Auf dieser Seite wird gezeigt, wie beispielhaft CAcert-Rootzertifikate in Android wirklich sinnvoll und Nutzbar eingebunden werden (Z.B. für einen validen Abruf eines SSL-WebDAV (Echange) Kontos in K-9 Mail).

Noch mehr als das hat mich aber genervt, dass eben diese initial versteckten Zertifikate alle mit diesen geschützten WLANs bis zur Passworteingabe des Anmeldeinformationsspeichers unerreichbar blieben. Automatische Einwahl in solchen WLANs ist so unter 2.1-Android schlicht nicht möglich (Froyo scheint da anders zu verfahren).

Die Liste der WLANs liegt bekanntermassen unter /data/misc/wifi/wpa_supplicant.conf. Wer nachträglich die getätigten Einstellungen seiner WLANs noch überprüfen möchte (was hat sich google dabei nur gedacht?), kann das auch ohne root mit dem Programm WiFi Advanced Configuration Editor (auch WifiAce genannt) tun. Dort ist bei den betroffenen Einträgen unter "Enterprise->"CA Certificate" dann so etwas wie "keystore://CACERT_<ZERTIFIKATNAME>" abzulesen. Da ich trotz root aber das Programm nicht zum Speichern neuer Eintragungen überreden konnte dient es im Folgenden nur zum Nachvollziehen, ob die getätigten Modifikationen nach dem Neustart auch korrekt übernommen wurden.

Der "Trick" (eigentlich war das wohl das althergebrachte Vorgehen in den Zeiten vor Einführung des Anmeldeinformationsspeichers) besteht nun darin das relevante Zertifikat jederzeit erreichbar zu machen. Dazu habe ich bei mir die Datei g_rootcert.crt (bei mir das Telekom-Roootzertifikat) mittels root-explorer nach /data/misc/wifi/ kopiert und in der dortigen wpa_supplicant.conf die Eintragungen namens ca_cert="keystore://CACERT_..." auf diesen absoluten Pfad ca_cert="/data/misc/wifi/g_rootcert.crt" umgeschrieben.
Damit nicht doch beim Scannen der WLAN-Umgebung wieder die Anmeldeinformationsspeicher-Passwortanfrage kommt, sollte man entsprechend für alle 802.1x-geschützten Netze verfahren.
Nach einem Reboot wählt sich dann das Telefon bereits vor/während des Launcher-Ladevorgangs ein, sofern das betroffene Netz in Reichweite ist.

Falls nicht, kann die Änderung auch mit WifiAce nochmal geprüft werden.
Es kann aber trotz dieser Maßnahme vorkommen, dass die AISpeicher-Passwortabfrage In der Übersicht von "Einstellungen"->"Drahtlos und Netzwerke"->"WLAN-Einstellungen" kommt. In der Übersicht der WLANs wird wohl erkannt, dass Zertifikatsbasierende Netze vorliegen und deshalb trotz der Erreichbarkeit der Zertifikate immer das Passwort verlangt, weil keystore geschlosssen ist.

Ich hoffe das hilft auch anderen weiter!
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: smint86 und Toorop

Ähnliche Themen

S
Antworten
0
Aufrufe
1.959
Strava
S
Y
Antworten
12
Aufrufe
1.406
molex
molex
P
Antworten
4
Aufrufe
2.580
Paul Schmitt
P
Zurück
Oben Unten