Samsung Galaxy Tab — Zertifikat xxxx.cer installieren für Outlook Web Access (OWA)

Dein Exchange Administrator muss Dir lediglich das Zertifikat in einem anderen Format liefern.

Das .cer Format was er Dir geliefert hat versteht Dein Android HAndy nicht. Du benötigst ein Zertifikat im .pfx (PKCS#12) Format. Das kann Dir nur Dein Administrator liefern, weil zum ändern auch der Private Key dieses Zertifikates benötigt wird.

Sag ihm das einfach und er kann Dir dann dieses Zertifikat in eben diesem Format exportieren.

Dann ist Dein Admin nicht ganz am Zahn der Zeit mit Wissen und Software.... wird Zeit dad er updated

Du kannst Ihm ja mal folgende Seite zeigen:
http://abtevrythng.blogspot.com/2010/06/adding-cer-certificates-on-your-android.html#axzz1IuTS0t9Z

@Jörg:

Sorry, aber Deine Aussagen sind leider nicht ganz richtig. Ein PFX (PKCS#12) Zertifikat dient zur Verschlüsselung von Daten, die das Handy senden soll. Daher ist in diesem auch der private Schlüssel (Private Key) hinterlegt. Ein solches Zertifikat wäre genau das Falsche. Würde der Admin ein solches Zertifikat herausgeben, könnte dieses auf jedem beliebigen Server oder Gerät installiert werden und dann verwendet werden, um sich als der Server auszugeben, von dem das Zertifikat stammt! Ein Zertifikat mit Private Key dient als Identitätsnachweis. Daher ist es auch mit einem Passwort geschützt, so dass nicht jeder, der sich die Datei "besorgt" hat mit dem Zertifikat seine Identität fälschen kann.

Da für die Kommunikation mit dem Exchange (OWA) das Zertifikat mit dem öffentlichem Schlüssel (Public Key) als vertrauenswürdig installiert werden muss (um die Identität des Servers zu verifizieren), wäre es völlig verkehrt ein PFX-Zertifikat zu installieren. Hier geht es darum, dass das Telefon (Android Device) damit sicherstellen soll, dass es auch mit dem richtigen Server kommuniziert und diesem vertraut. Der Server verschlüsselt also seine Daten mit seinem Private Key (PFX), das Telefon entschlüsselt mit dem Public Key (CER). Dazu muss das Zertifikat mit dem Public Key auf dem Telefon im Speicher für "vertrauenswürdige Zertifizierungsstellen" installiert sein. Ein Zertifikat mit einem Public Key wird aber nun klassicher Weise als CER oder P7B Zertifikat geliefert.

Daher darf und kann der Admin dem Benutzer kein Zertifikat des Serves mit Privatem Schlüssel geben! Du gibst ja auch nicht jedem Deine Visakarte und die PIN, so dass dieser sich damit beim Geldautomaten authentifizieren kann und dann Dein Konto leer räumt.

In dem von Dir verlinkten Artikel geht es übrigens um die Verschlüsselung des Traffics über ein WLAN. Dafür braucht das Handy einen privaten Schlüssel, um SEINE Identität vor dem Server nachzuweisen. Nur dann redet das WLAN mit ihm. Dafür gibt Dir der Admin dann auch ein persönliches Zertifikat mit Privatem Schlüssel und Kennwort zur Installation auf dem Endgerät.

Ich hoffe damit etwas Klarheit in diese Diskussion gebracht zu haben...

PS: Bei großen Firmen spielt das meist keine Rolle, da diese regelmäßig ein Zertifikat großer Zertifizierungsstellen kaufen, für die das Zertifikat mit öffentlichem Schlüssel schon bei Auslieferung im Handy installiert ist. Kleinere Unternehmen nutzen meist selbst erstellte Zertifikate und müssen daher das Zertifikat der RootCA erst aufs Handy bringen.

— geändert am 30.08.2011, 20:12:42

Klingt alles schön und gut!
Leider hat die Geschte einen Haken!
Mein Android Phone kann mit dem P7B Zertifikat nichts anfangen.
Mein Galaxy Mini hat das Aktuelle Android 2.3.4 für dieses Phone.
Kies behauptet auch nach einen frisch update das mein Phone auch die aktuelle Firmware hat.
Das P7B Zertifikat habe ich als Admin selbst aus dem Zertifikatsspeicher geholt.
Ein manueller Transfer wird abgeblockt weil das Phone damit nichts anfangen kann,
und ein automatisches Einrichten schlägt fehl weil nach Eingabe der Domäne und des Exchange Servers der Weiter Button blaß bleibt.
Gibt es dafür eine gangbare Methode oder stehen am Ende wieder Rauchzeichen mit Trommeln?

Das Problem liegt aus meiner Sicht klar bei einer nicht vernünftig implementierten Zertifikatsfunktion im Android. Es gibt aber glaube ich irgendwo die Einstellung, dass alle Zertifikatsfehler ignoriert werden sollen oder so. Hab schon seit ein paar Monaten kein Android Gerät mehr. Genau wegen solcher und vieler anderer Probleme. Mit Windows Phone oder iPhone hast du den Quatsch nicht. Außerdem scheint sich das auf die Galaxy Implementierung von Android von Samsung zu beschränken.

Alles klar!
Ich glaube ich habe es Verstanden.
Brieftauben verschicken, Trommeln und Rauchzeichen geben ist sicherer.
Es leben die Schoschonen und ihr Klappstuhl.
Ein Windows Phone kann dafür was anderes nicht!
Eigentlich bräuchte das Ding gar keine USB-Schnittstelle.
Wie kann denn ein Benutzer nur so verwegen sein und sein Handy über USB zu synchronisieren.
Über ein Iphone möchte ich nur sagen.
Apple lässt sich sein abkupfern wie immer zu teuer bezahlen.
Wenn ich daran denke das schon vor über 10 Jahren ein handliches Gerät mit abgerundenen Kanten und innenliegenden Display in der Hand hielt.
Es stand nur so etwas wie M$ und HP drauf und kein I.
Das einzige I das Apple damals hatte, das war das "I Woz" das ist aber ein anderes Thema..
Steve Wozniak werden nur noch die wenigsten kennen.

Mir graut vor der Zukunft wenn alles so funktioniert wie es die Hersteller uns weis machen.
Schönen Tag noch und denkt an den Klappstuhl.
Sepp

Hi!

Alles klar. Mit Windows und Apple nicht einverstanden. Ist schon recht. Auf Windows Phone muss man sich auch erst das Zertifikat per irgendeinem Freemail Service zuschicken, um es dann zu installieren. Dieses muss als CER vorliegen. Nur wenn das korrekt ist, funktioniert es dann auch.

Wie sieht's denn mit dem Zertifikat und dem Exchange aus? Ist Outlook Anywhere richtig eingerichtet? Funktioniert OWA mit dem Zertifikat, dass auf das Galaxy sollte ohne Zertifikatsfehlermeldung? Das war ein P7B-Zertifikat? Sind externer und interner DNS in diesem SAN-Zertifikat enthalten. Hast du die Option zum ignorieren von Zertifkatsfehlern gefunden und aktiviert?

Das sind die Sachen die ich aus der Supportersicht vorher abklären würde.

Gruss
Jens

— geändert am 16.03.2012, 08:03:35