Mit openssl exportierte .p12 Zertifikate lassen sich auf iPhone und Android nicht importieren

Hallo zusammen,

wir haben derzeit folgendes Problem. Eine Schule setzt für den WLAN-Zugriff die EAP-TLS (Zertifikatsbasierte Authentisierung) an. Das heißt nur Geräte mit gültigem Zertifikat haben WLAN-Zugriff.
Alle Lehrer, die mit ihren eigenen mobilen Endgeräten das WLAN nutzen wollen, müssen daher ein Zertifikat auf einer PKI (openxpki) generieren und auf ihren Geräten importieren.

Das hat auch bislang gut funktioniert (und funktioniert auf Windows und Linux auch weiterhin wunderbar) aber seit kurzem lassen sich diese Zertifikate auf iOS bzw. Android Geräten nicht mehr importiern. → Fehlermeldung ist immer falsches Passwort.

Nach viel Rätsel- und Grübelei scheint dies offenbar am Default Verschlüsselungsalgorythmus AES-256-CBC zu liegen, den openssl seit Neuestem für den Export des p12-Zertifikate verwendet.

Wenn man den Verschlüsselungsalgorythmus für das Zertfikat ändert z.B. so

(openssl1.1.1)
openssl pkcs12 -in cert.p12 -out temp.pem
openssl pkcs12 -export -certpbe PBE-SHA1-RC2-40 -keypbe PBE-SHA1-RC2-40 -in temp.pem -out cert-legacy.p12

(openssl3.0.0)
openssl pkcs12 -in cert.p12 -out temp.pem
openssl pkcs12 -export -legacy -in temp.pem -out cert-legacy.p12

siehe auch /docs/man1.1.1/man1/pkcs12.html

Dann lassen sich die Zertifikate auf wieder in iPhone und Android importieren.

Habt ihr eine Idee, wie man das openssl bzw. der openxpi beibringen kann standardmäßig im legacy-Format zu exportieren?

Gruß
Thomas

P.S: NICHT Hilfreich sind Beiträge in der Form „Warum macht ihr überhaupt EAP-TLS?“ Antwort → Die Schule will das so! Man befürchtet das Ausspähen von Lehrerpasswörtern durch potentielle Rogue-RADIUS-Server.

Hallo zusammen,

mittlerweile hab ich die Lösung gefunden. In der Mailingliste zu openxpki gab es einen Hinweis, dass mit Version 3.2.2 auch neue Workflows herausgebracht wurden, welche man aber (vermutlich abhängig von der Art der Installation) separat aktualisieren muss.

In den neuen Workflows wird für den pkcs12 Export auch die Option für legacy systems angeboten.

VG
Thomas