@Jörg:
Sorry, aber Deine Aussagen sind leider nicht ganz richtig. Ein PFX (PKCS#12) Zertifikat dient zur Verschlüsselung von Daten, die das Handy senden soll. Daher ist in diesem auch der private Schlüssel (Private Key) hinterlegt. Ein solches Zertifikat wäre genau das Falsche. Würde der Admin ein solches Zertifikat herausgeben, könnte dieses auf jedem beliebigen Server oder Gerät installiert werden und dann verwendet werden, um sich als der Server auszugeben, von dem das Zertifikat stammt! Ein Zertifikat mit Private Key dient als Identitätsnachweis. Daher ist es auch mit einem Passwort geschützt, so dass nicht jeder, der sich die Datei "besorgt" hat mit dem Zertifikat seine Identität fälschen kann.
Da für die Kommunikation mit dem Exchange (OWA) das Zertifikat mit dem öffentlichem Schlüssel (Public Key) als vertrauenswürdig installiert werden muss (um die Identität des Servers zu verifizieren), wäre es völlig verkehrt ein PFX-Zertifikat zu installieren. Hier geht es darum, dass das Telefon (Android Device) damit sicherstellen soll, dass es auch mit dem richtigen Server kommuniziert und diesem vertraut. Der Server verschlüsselt also seine Daten mit seinem Private Key (PFX), das Telefon entschlüsselt mit dem Public Key (CER). Dazu muss das Zertifikat mit dem Public Key auf dem Telefon im Speicher für "vertrauenswürdige Zertifizierungsstellen" installiert sein. Ein Zertifikat mit einem Public Key wird aber nun klassicher Weise als CER oder P7B Zertifikat geliefert.
Daher darf und kann der Admin dem Benutzer kein Zertifikat des Serves mit Privatem Schlüssel geben! Du gibst ja auch nicht jedem Deine Visakarte und die PIN, so dass dieser sich damit beim Geldautomaten authentifizieren kann und dann Dein Konto leer räumt.
In dem von Dir verlinkten Artikel geht es übrigens um die Verschlüsselung des Traffics über ein WLAN. Dafür braucht das Handy einen privaten Schlüssel, um SEINE Identität vor dem Server nachzuweisen. Nur dann redet das WLAN mit ihm. Dafür gibt Dir der Admin dann auch ein persönliches Zertifikat mit Privatem Schlüssel und Kennwort zur Installation auf dem Endgerät.
Ich hoffe damit etwas Klarheit in diese Diskussion gebracht zu haben...
PS: Bei großen Firmen spielt das meist keine Rolle, da diese regelmäßig ein Zertifikat großer Zertifizierungsstellen kaufen, für die das Zertifikat mit öffentlichem Schlüssel schon bei Auslieferung im Handy installiert ist. Kleinere Unternehmen nutzen meist selbst erstellte Zertifikate und müssen daher das Zertifikat der RootCA erst aufs Handy bringen.
— geändert am 30.08.2011, 20:12:42
Empfohlener redaktioneller Inhalt
Mit Deiner Zustimmung wird hier ein externer Inhalt geladen.
Mit Klick auf den oben stehenden Button erklärst Du Dich damit einverstanden, dass Dir externe Inhalte angezeigt werden dürfen. Dabei können personenbezogene Daten an Drittanbieter übermittelt werden. Mehr Infos dazu findest Du in unserer Datenschutzerklärung.