Zertifikatprüfung bei Android-Apps fehlerhaft?

süno42 · 02. Sep 2014

Moin zusammen,

ich habe eine eigene Zertifkatinfrastruktur, die auf allen Rechnern und meinem Android-Telefon problemlos funktioniert. Nur bei den aktuellen Android-Apps (DS File [v.4.1.1.-158], DS Video [v.2.2-095], DS Photo+ [v.3.3-209]), funktioniert dies nicht, sofern die Zertifikatprüfung (DS Audio unterstützt diese noch nicht, warum auch immer) aktiviert ist. Die Zertifikatprüfung ist erfolgreich, sofern ich als Server einen vollständigen Domänennamen (FQDN) angebe, bei Angabe der IP-Adresse (obwohl im Zertifikat spezifiziert) schlägt die Prüfung fehl.

Nebenbei scheinen die Apps auch mit der Auflösung eines partiellen Domänennamens nicht zurechtzukommen.

Hat jemand ähnliche Erfahrungen gemacht?

Grüße
Süno42

Anzeige · 02. Sep 2014

Hallo süno42,

Bücher und Hardware zum Thema gibt es bei Amazon: Zertifikatprüfung bei Android-Apps fehlerhaft?

süno42 · 15. Sep 2014

Moin,

ist vielleicht zu speziell?? Nicht jeder hat eine eigene Zertifikatsinfrastruktur aufgesetzt, und IP-Adressen in öffentlich ausgestellten Zertifikaten sind ein Auslaufmodell (aus gutem Grund). Dann adressiere ich es mal direkt an Synology.

Grüße,
Süno42

Ha34Meiner · 08. Okt 2014

Auch ich habe in der App CloudStation den Haken bei "Zertifikat verifizieren" gemacht. Mein ssl.crt Zertifikat habe ich dann von der SD-Card installiert und trotzdem kommt die Meldung SSL-Zertifikationsprüfung Fehler.
Was muß ich von meinem Zertifikat noch auf dem Android (4.3) installieren oder liegt mein Fehler ganz wo anders. Es ist ein Fremd-Zertifikat von StartSSL.

süno42 · 08. Okt 2014

Ich nutze die App der Cloud Station zwar nicht, sollte sich aber genauso wie die anderen Apps auch verhalten. Ob Dein Mobiltelefon das Zertifikat als vertrauenswürdig erkennt, kannst Du in einem ersten Test mit dem Chrome-Browser testen.

Adhoc fallen mir zwei Möglichkeiten ein:

Der in dem Zertifikat hinterlegte DNS-Name paßt nicht zu dem in der Cloud-App aufgerufenen DNS-Namen
Die Zertifikatskette ist unvollständig. D.h. es befindet sich kein als vertrauenswürdig markiertes Zertifikat der Zertifikatskette im Zertifikatspeicher des Handys

Wie stellst Du die Verbindung zur Diskstation her (IP, DNS-Name)?
Was steht im Zertifikat? Beziehungsweise stell das Zertifikat hier mal zur Verfügung (Achtung: nur das Zertifikat, nicht den privaten Schlüssel (private Key))

Ha34Meiner · 09. Okt 2014

Hallo süno42,
danke für Deine Antwort.
Ich nehme das ssl.crt Zertifikat. So heißt es zumindest bei mir. Soll ich das einmal zur Verfügung stellen?
Ich gehe direkt mit meiner Sub-Domain zur Diskstation: sub-Domain.Haupt-Domain.de
Ich habe dann natürlich noch eine DynDNS-Adresse die ich über die Fritzbox eingerichtet habe.

Frogman · 09. Okt 2014

Da das Importieren von Zertifikaten in Android nicht so ganz fluffig abläuft, wie man sich das wünscht, solltest Du vielleicht auch hier einen Blick riskieren...

Ha34Meiner · 09. Okt 2014

Genau nach der Anleitung bin ich vorgegangen

Aber wiedermal habe ich da einen Fehler gemacht, aber leider finde ich den nicht...

süno42 · 10. Okt 2014

Ha34Meiner schrieb:
Genau nach der Anleitung bin ich vorgegangen Aber wiedermal habe ich da einen Fehler gemacht, aber leider finde ich den nicht...

Die Anleitung scheint nicht mehr ganz aktuell zu sein. Zumindest unter Android 4.4 lassen sich auch Base64-kodierte Zertifikate (PEM) importieren. Der Import eines eigenen Root-Zertifikats funktioniert einwandfrei, wie sich Android bei einem reinen Serverzertifikat verhält, habe ich nicht ausprobiert.

Vielleicht eines vorweg, was sagt denn der Android-Browser, denn Du dort über https eines Seite der Diskstation aufrufst? Und welche Adresse gibst Du in der App ein?
Ansonsten schadet es zumindest nichts, das Zertifikat hier mal zu zeigen.

Viele Grüße,
Süno42