none
SfB client android предупреждение о безопасности RRS feed

  • Вопрос

  • есть Sfb server ну и Exchange

    на  Exchange выдан сертификат  с локального (доменного) ЦС

    собственно все работает - но при подключении клиента SfB только  с андроида при запросе EWS  Exchange происходит ошибка

    "Сервер предоставил сертификат, который не удалось проверить. Продолжить?"

    корневой сертификат ЦС  с которого выдан сертификат на Exchange  добавлен на телефон андроида

    почта на телефоне на сертификат не жалуется , в браузере тоже спокойно можно открыть owa, как и собственно корпоративные приложения использующие сертификаты этого ЦС

    Можно конечно нажать галочку Всегда доверять этому сертификату, но хотелось бы понять что не так с сертификатом. Это проблема того что клиент на андроиде  не спрашивает корневые установленные пользователем или эта ошибка говорит о чем то другом, и сертфикат он не может ПРОВЕРИТЬ по какой то другой причине?

Все ответы

  • День добрый.

    Он не может проверить CRL вашего сертификата, возможно CRL не опубликован в интернет или путь к HTTP CRL не найден.


    MCITP, MCSE, M365. Regards, Oleg

    Модератор
  • Я об этом тоже думал

    но адрес для отозванных есть в сертфикате и он доступен - его в браузере телефона можно спокойно скачать.

  • Возможно у вас вот такая ошибка.

    Проверить URL и сертификат из вне https://www.digicert.com/help/ или https://www.sslshopper.com/ssl-checker.html

    1. Проверить дату устаревания сертификата Ж)

    2. Проверить цепочку Sub/Root и CRL

    3. Проверить внешнее имя URL и имена в сертификате.

    https://answers.microsoft.com/en-us/msoffice/forum/msoffice_sfb-mso_amobile-mso_o365b/security-certificate-required-to-be-trusted/23b1f324-6784-45bb-99b2-a555998bf268


    MCITP, MCSE, M365. Regards, Oleg

    Модератор
  • ну ошибка то если по английски писать то эта

    В сертификате есть  все  имена внешние для exchange. и основное и все Autodiscover.

    Да и в целом без  этих имен удаленные десктопные клиенты не могли бы  подключиться к EWS. (на десктопных конечно так же добавлен  корневой root ca  и никаких алертов и нет)

    online checker  показывает что:

    TLS Certificate has not been revoked

    CRL Status good

    The certificate expires May 22, 2023

    ну и понятно ругается что нет root ca  левый

    Такое впечатление что клиент просто игнорирует установленный пользовательский root ca

    ошибка одинаковая что установить на телефон  корневой доменный серт что удалить














  • Проверьте что устанавливаемы вами сертификат с расширеним *.der.

    https://www.lastbreach.com/blog/importing-private-ca-certificates-in-android

    Возможно нужно перезагрузить Android после установки сертификата.

    Возможно проверить Root Certificate на Android. https://play.google.com/store/apps/details?id=net.jolivier.cert.Importer&hl=en_US&gl=US


    MCITP, MCSE, M365. Regards, Oleg

    Модератор
  • телефон не рутован. этой прогой можно только посмотреть сертфикаты системы. Установленного мной сертификата корневого конечно в этом списке не будет.потому что он другом пользователском разделе.

    Ради интереса удалил сертфикат и переставил с формата der ну и ребутнул

    эффект нулевой.

  • Насколько понимаю вы устанавливаете сертификат в пользовательский раздел, программы используют системый раздел сертификатов.

    Вот пример установки root и sub сeртификатов в системую часть store в Android.

    https://gist.github.com/pwlin/8a0d01e6428b7a96e2eb


    MCITP, MCSE, M365. Regards, Oleg

    Модератор
  • Телефон не вломан ( non root )   в раздел System  не установить.

    Конкретно программа SfB для андроид видимо просто не умеет использовать сертификаты из пользовательского раздела вот и все.

    3 июня 2021 г. 11:14
  • Купите сертификат из поддерживаемых центров сертификации.

    OFFICIAL LIST OF TRUSTED ROOT CERTIFICATES ON ANDROID

    Или возможно добавить ваш домен и CA в список доверенных

    Security with HTTPS and SSL
    Network security configuration

    Installing an SSL Certificate on an Android Device (Manually)

    PS. Не использую Android, так как не прошел тест по безопастности, может что-то изменится в новой версии.


    MCITP, MCSE, M365. Regards, Oleg

    Модератор