Bonjour Théophile
Merci pour tes réponses
En gros j’ai un serveur web qui permet aux utilisateurs admin de générer
des certificats Android afin de faire signer en premier lieu la csr avec
les infos dans un inputbox fourni par ces derniers
Ensuite de récupérer le p7b au format base64 et la cer de la pki et ensuite
convertir cela en un fichier pfx avec un mot de passe personnalisé
Voici une partie du code au début qui m’a valu ce problème
Pour convertir le fichier pfx Android initial
Et qui me pose le problème sur certain Android notamment au niveau du mot
de passe refusé
openssl pkcs12 -export -out "${login}_${annee}.pfx" -inkey
"${login}_${annee}_private.pem" -in "$certificate" -certfile "$chain"
-passout pass:"$password" -passin pass:"$password"
J’ai fait évoluer le code de manière à créer 3 types de formulaires Android
10-14
openssl pkcs12 -export -out "$pfx_file" -inkey "$private_key" -in
"$cert_file" -passout pass:"$password" -passin pass:"$password" -keypbe
aes-256 -certpbe aes-256 -macalg sha256
Android 8-10
openssl pkcs12 -export -out "$pfx_file" -inkey "$private_key" -in
"$cert_file" -passout pass:"$password" -passin pass:"$password" -keypbe
aes-128 -certpbe aes-128 -macalg sha256
Android 5-7
openssl pkcs12 -export -out "$pfx_file" -inkey "$private_key" -in
"$cert_file" -passout pass:"$password" -passin pass:"$password" -keypbe
3des -certpbe 3des -macalg sha1
Je me suis fier à cette documentation
https://stackoverflow.com/questions/71872900/installing-pcks12-certificate-in-android-wrong-password-bug
Le ven. 10 mai 2024 à 10:21, Théophile Helleboid <chti...@gmail.com> a
écrit :
> Bonjour Stephane,
>
> Je constate qu’après génération de certificat wifi 802.1x certain mobile
> > comme les crosscall ou galaxy tab m’empêche d’installer le pfx avec le
> bon
> > password pourtant ces mêmes certificats s’installe correctement sur
> > d’autres modèle d’androïdes toute version confondu
>
>
> Les dernières versions d'Android exigent désormais que le certificat
> importé soit bien un "Certificat d'Autorité", c'est-à-dire avec le flag
> "X509v3 Basic Constraints CA" à "True".
>
> Auparavant, il était possible d'ajouter un certificat intermédiaire, voire
> le certificat "enfant". Désormais, cela ne fonctionne plus.
>
> Si vous tentiez d'importer le certificat "enfant", cela était peut être la
> source du problème.
> Pour vérifier que le certificat (au format PEM) ait bien le flag "CA" avec
> openssl :
> openssl x509 -in wifi-cert.pem -noout -text
>
> Le "CA: TRUE" doit être présent dans les extensions X509 :
> X509v3 extensions:
> X509v3 Basic Constraints: critical
> CA:TRUE
>
> Je soupçonne que le changement est concomitant au "December Security Patch
> for Android 11", sans en avoir la certitude.
>
> https://www.reddit.com/r/networking/comments/j7ero1/psa_android_11s_december_security_update_will/
>
> Tenez nous au courant si cela est la solution au problème.
>
> Bonne journée à tous,
> --
> Théophile Helleboid
>
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
