Hallo zusammen,
wir haben derzeit folgendes Problem. Eine Schule setzt für den WLAN-Zugriff die EAP-TLS (Zertifikatsbasierte Authentisierung) an. Das heißt nur Geräte mit gültigem Zertifikat haben WLAN-Zugriff.
Alle Lehrer, die mit ihren eigenen mobilen Endgeräten das WLAN nutzen wollen, müssen daher ein Zertifikat auf einer PKI (openxpki) generieren und auf ihren Geräten importieren.
Das hat auch bislang gut funktioniert (und funktioniert auf Windows und Linux auch weiterhin wunderbar) aber seit kurzem lassen sich diese Zertifikate auf iOS bzw. Android Geräten nicht mehr importiern. → Fehlermeldung ist immer falsches Passwort.
Nach viel Rätsel- und Grübelei scheint dies offenbar am Default Verschlüsselungsalgorythmus AES-256-CBC zu liegen, den openssl seit Neuestem für den Export des p12-Zertifikate verwendet.
Wenn man den Verschlüsselungsalgorythmus für das Zertfikat ändert z.B. so
(openssl1.1.1)
openssl pkcs12 -in cert.p12 -out temp.pem
openssl pkcs12 -export -certpbe PBE-SHA1-RC2-40 -keypbe PBE-SHA1-RC2-40 -in temp.pem -out cert-legacy.p12
(openssl3.0.0)
openssl pkcs12 -in cert.p12 -out temp.pem
openssl pkcs12 -export -legacy -in temp.pem -out cert-legacy.p12
siehe auch /docs/man1.1.1/man1/pkcs12.html
Dann lassen sich die Zertifikate auf wieder in iPhone und Android importieren.
Habt ihr eine Idee, wie man das openssl bzw. der openxpi beibringen kann standardmäßig im legacy-Format zu exportieren?
Gruß
Thomas
P.S: NICHT Hilfreich sind Beiträge in der Form „Warum macht ihr überhaupt EAP-TLS?“ Antwort → Die Schule will das so! Man befürchtet das Ausspähen von Lehrerpasswörtern durch potentielle Rogue-RADIUS-Server.