xyz.ca.cert unter LineageOS 22.2 funktioniert nicht und kann nicht installiert werden.

  • 6 Antworten
  • Letztes Antwortdatum
vonharold

vonharold

Dauer-User
998
Hallo zusammen,

ich bräuchte wieder mal Eure Hilfe.
Ich wollte ein xyz.ca.crt unter LineageOS 22.2 installieren und es funktioniert nicht und kann nicht installiert werden.

Die PIN welche ich für das Handy freischalten brauche, wird noch abgefragt und eingegeben.
Danach öffnet der Ordner, in den ich dan navigieren kann, da wo das Zertifikate abgespeichert wurde.
Es wird nicht installiert, da immer gesagt wird, ich brauche ein Privaten Key.
Habe ich doch. Es kommt auch kein eigenes Fenster um den Key/Passwort einzugeben.

Habe die Dateien auch schon in das Wurzelverzeichnis von Android verschoben. Keinen eigenen Ordner mehr dafür.

Habt Ihr eine Idee, was ich noch probieren kann.

Nein, das Handy wurde und ist nicht gerootet.
Werde ich auch nicht machen.
Das müsste doch auch so gehen.
Was habe ich noch vergessen zu erwähnen?

Der Handytyp müsste doch egal sein, ist doch vermutlich ein übergreifendes Thema.
Oder sehe ich das falsch?

Vorgehen:
Ein Zertifikat installieren
Zertifikate von SD-Karte installieren

Ein Zertifikat von SD-Karte installieren anwählen
CA-Zertifikat auswählen
Dann kommt das Feld mit dem gelben Dreieck und Ausrufezeichen.
Deine Daten werden geschützt usw...
Trotzdem installieren

PIN eingabe wird abgefragt
Dann zum Pfad des CA.crt gehen
CA.crt auswählen und ab dann geht nichts mehr bei mir.
Da immer gesagt wird, ich brauche ein Privaten Key.
 
Zuletzt bearbeitet:
Ich habe nur oberflächliches Wissen dazu aber fand es daher interessant. ChatGPT hat folgende Infos zur Hand, die vielleicht helfen:



1. Warum schlägt die Installation fehl?


Der beschriebene Fehler deutet darauf hin, dass das Zertifikat, das der Nutzer installieren möchte, kein reines CA-Zertifikat ist, sondern ein Client-Zertifikat, das einen zugehörigen privaten Schlüssel benötigt. Android kann solche Zertifikate nur im PKCS#12-Format (.p12 oder .pfx) installieren, nicht als reines .crt oder .pem.


Das konkrete Problem:

  • Die Datei xyz.ca.cert oder xyz.crt enthält nur das Zertifikat, aber nicht den privaten Schlüssel.
  • Android erwartet bei einem Client-Zertifikat eine .p12-Datei, die sowohl Zertifikat und privaten Schlüssel enthält.
  • Weil der private Schlüssel fehlt, kann Android das Zertifikat nicht importieren – daher auch keine Passwortabfrage.

2. Zusammenfassung: Zertifikate unter LineageOS & Android allgemein


CA-Zertifikat (z. B. für WLAN, VPN, Apps):

  • Format: .crt oder .pem
  • Installation: „Zertifikat installieren“ → „CA-Zertifikat“ → funktioniert direkt
  • Wird im Trust Store abgelegt
  • Achtung: Unter Android 11+ wird benutzerinstallierten CA-Zertifikaten nicht automatisch für Apps vertraut (nur für WLAN/VPN)

Client-Zertifikat (z. B. für WPA2-Enterprise oder VPN mit Identitätsnachweis):

  • Format: .p12 oder .pfx (enthält Zertifikat + privaten Schlüssel)
  • Erforderlich: Passwortgeschützt
  • Installation: Über denselben Dialog, aber nur erfolgreich, wenn das Format korrekt ist
  • Ohne privaten Schlüssel gibt es keine Passwortabfrage – und die Installation scheitert leise oder mit Fehlermeldung


Lösungsvorschläge für den Nutzer:


  • Falls das Ziel ein Client-Zertifikat ist (z. B. für Uni-WLAN, Unternehmens-VPN):→ Zertifikat + privaten Schlüssel in eine .p12-Datei umwandeln, z. B. mit OpenSSL:openssl pkcs12 -export -inkey private.key -in certificate.crt -out bundle.p12

  • Falls es nur ein CA-Zertifikat ist:→ Sicherstellen, dass die Datei wirklich nur das CA-Zertifikat enthält und korrekt im .crt-Format vorliegt (kein PEM-Header eines Keys!)

 
Hallo @bbfh,
danke für die tolle Anleitung.
Aber mein Problem besteht weiterhin mit dem xyz.ca.crt welches ich immer vorher installieren muss.
Ich habe wohl ein Zertifikat im PKCS#12-Format (.p12), aber es wird immer ein xyz.ca.crt dazu gebraucht, welches vorhanden sein muss.
Leider drehe ich mir hier im Kreis.
Ohne das eine Zertifikat, geht das andere scheinbar nicht.

Das Teil macht mich noch Irre.... und das schon wochenlang.
 
Du schreibst ja, dass du zum Pfad mit dem Zertifikat gehst, und dann die .crt Datei auswählst. Wenn ich das richtig verstanden habe, sollte es funktionieren, wenn du stattdessen die .p12 Datei auswählst.
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: vonharold
Zuletzt bearbeitet:
  • Danke
Reaktionen: vonharold
Hallo @Klaus986, hallo @bbfh,

danke für die Links.
Dieser Link scheint sich gut anzuhören: Android mit eigenen SSL Zertifikaten (ROOT CA installieren) – bachmann-lan.de
Habe mal die Info an die Person geschickt, welche das Zertifikat erstellt hat und zum Download bereit gestellt hat.
Dieses Zertifikat wird halt immer als Grundlage benötigt.
Erst dann funktionieren/greifen meine eigenen erstellten Zertifikate mit persönlichem Key eingearbeitet.
PKCS#12-Format (.p12)
Nur das eine Zertifikat nützt mir nichts und brauche drei Zertifikate für die Trigger App.
Trigger | F-Droid - Free and Open Source Android App Repository

Solange bleibe ich halt vor der verschlossenen Tür stehen, bis ich das Teil zum laufen bringe.
Einen analogen Schlüssel bekomme ich nicht zu der Tür....
So ist halt das elektronische Leben.....
 
Zuletzt bearbeitet:
Hallo zusammen,

ich bin bei dem Thema weiter gekommen.
ich musste mein Zertifikate PKCS#12-Format (.p12) als das Server Zertifikate auswählen.
Nicht wie es in der Anleitung stand das xyz.ca.crt, welches von der Schließanlage als öffentliches Zertifikat zum Download stand und installiert werden soll.
Wenn man es richtig macht, dann wird das auch funktionieren.
Weiterhin musste ich noch 2 Haken setzen, die das überprüfen der Validierung ausschalten und den Hostnamen überprüfen verhindern.
1746858722616.png

Ansonsten kommt diese Fehlermeldung:
1746858827152.png

Danach konnte ich dann das Türschloss öffnen oder auch schließen.

Danke für das mitdenken.
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: bbfh und Klaus986
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten