Cài đặt chứng chỉ không có màn hình khóa PIN bắt buộc

23

Bộ phận hỗ trợ của Google cho biết :

Loại khóa có thể chấp nhận được có thể được xác định trước bởi quản trị viên hệ thống của bạn.

Nơi tôi có thể định nghĩa những gì được chấp nhận? Tôi có thể tạo lại chứng chỉ nếu cần.

Vì vậy, tôi có thể sử dụng màn hình khóa trượt một lần nữa.

(Tôi đang sử dụng CM9 RC1, Android 4.0.4)

security  lock-screens  certificates 
lần thứ ba
nguồn
1
Tôi sẽ chấp nhận một giải pháp cài đặt chứng chỉ trực tiếp vào hệ thống, do đó bỏ qua yêu cầu về pin.
1
1
Để bảo mật thông tin đăng nhập của bạn, bạn phải sử dụng một trong các loại màn hình khóa có một số loại mã bí mật (mẫu, mã PIN hoặc mật khẩu). Điều mà dòng đó nói với bạn là quản trị viên của bạn có thể (thông thường thông qua chính sách Exchange ActiveSync) khóa điện thoại của bạn để chỉ một số loại trong số đó được chấp nhận, ví dụ như họ có thể không tin tưởng khóa mẫu và có thể nghĩ rằng 4 chữ số PIN không có đủ kết hợp. Nó không nói rằng bạn có thể tắt yêu cầu bảo mật này.
GAThrawn
2
@GAThrawn Tôi thấy rằng không thể chấp nhận được nếu tôi chỉ cài đặt CA để xác thực máy chủ web của mình thông qua SSL (sử dụng chứng chỉ tự ký). Tôi sẽ hiểu nếu đó là về việc ký khóa trên thiết bị hoặc xác thực người dùng - nhưng cả hai đều là cách khác. May mắn thay, giải pháp sgiebels dường như hoạt động với tôi, với một số điều chỉnh nhỏ tôi đã mô tả trong các ý kiến ​​ở đó. Chỉ có nhược điểm cho đến nay: nó yêu cầu root.
Izzy

Câu trả lời:

2

Vấn đề với việc vô hiệu hóa bảo mật màn hình khóa bằng cách sử dụng chuyển đổi / cấu hình là các tiện ích màn hình khóa không xuất hiện để bạn không thể trượt để mở khóa. Ngoài ra, khi bạn khởi động lại điện thoại, các nút không hoạt động cho đến khi bạn nhấn lại cài đặt.

Một cách khác là cài đặt chứng chỉ như bình thường, sau đó sao lưu các thư mục / data / misc / key và keystore bằng cách sử dụng thứ gì đó bảo tồn các ACL như Root Explorer đến một vị trí hỗ trợ ACL. Tôi đề nghị sao chép chúng vào / tmp. Sau đó xóa thông tin đăng nhập khỏi Cài đặt và bật Slide To Unlock. Sau đó sao chép lại các thư mục từ / tmp. CA sẽ được cài đặt.

Quái vật
nguồn
Điều này không hoạt động nữa. Ngay khi bạn cố gắng sử dụng chứng chỉ ở đâu đó (chẳng hạn như khi kết nối với mạng wifi), HĐH yêu cầu bạn đặt lại khóa trên màn hình.
Cory Klein
@CoryKlein Nếu bạn nhấp vào hủy, nó sẽ nhắc bạn nhập mã PIN và bạn có thể nhập mã cuối cùng bạn đã đặt. Nó là cần thiết để giải mã dữ liệu.
Monstieur
@Kurian - Vì vậy, tôi đã làm theo các hướng dẫn ở trên và khi tôi cố gắng kết nối với mạng wifi thì thông báo "Bạn cần đặt mã PIN màn hình khóa", tôi nhấp vào "Hủy" và không có gì xảy ra. Nếu tôi nhấn "Ok" thì hủy bỏ từ đó, nó vẫn không yêu cầu mã PIN.
Cory Klein
@CoryKlein Tôi đọc sai nhận xét trước đó của bạn. Tôi đã nói về VPN. Kết nối với VPN sẽ nhắc bạn về mã PIN màn hình khóa cuối cùng để giải mã thông tin đăng nhập của bạn. Tôi không biết nếu nó hoạt động cho chứng chỉ cá nhân với khóa riêng. Tôi biết nó không hoạt động để cài đặt chứng chỉ CA đáng tin cậy. Nó cũng có thể là ROM cụ thể bạn đang sử dụng. ROM AOSP Pre-ICS không bao giờ cần mã PIN màn hình khóa để lưu thông tin xác thực VPN.
Monstieur
7

Tôi đã mô tả cách thực hiện điều này một cách xuất sắc trên trang của mình, "Cài đặt chứng chỉ CAcert trên Android dưới dạng thông tin 'hệ thống' mà không cần màn hình khóa - hướng dẫn" tại http://wiki.pcprobleemloos.nl/android/cacert

Tôi cũng đã đăng nó trên diễn đàn cyanogenmod: http://forum.cyanogenmod.com/topic/82875-installing-cacert-certert-on-android-as-system-credentials-without-lockscreen/

Về cơ bản, các lệnh là:

openssl x509 -inform PEM -subject_hash_old -in root.crt | head -1

Để có được tên tệp chính xác, sau đó chuyển đổi chứng chỉ:

cat root.crt > 5ed36f99.0
openssl x509 -inform PEM -text -in root.crt -out /dev/null >> 5ed36f99.0

Sao chép chúng vào / system / etc / security / cacerts / và chmod các tệp .0 mới thành '644'. Khởi động lại và xác minh. Trên thiết bị Android của bạn, chọn 'Xóa cerficates' và bạn có thể xóa mã pin (bằng cách nhập mã pin và thay đổi màn hình khóa của bạn thành 'none' hoặc 'lau'

Ở đây tôi đã sử dụng chứng chỉ gốc CAcert, nhưng có lẽ bạn cũng muốn chứng chỉ class3.crt hoặc sử dụng chứng chỉ của riêng bạn.

sgiebels
nguồn
Bạn đề cập đến "chứng chỉ riêng". Tôi vừa thử nó với "CA" (được tạo bằng TinyCA) và trong bước cuối cùng ("thông báo") chỉ gặp lỗi : 140342119224992:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:696:Expecting: TRUSTED CERTIFICATE. Kiểm tra với Không thể tải chứng chỉ trong openssl , .pemtệp phải khớp. Nhưng sau đó, lệnh cuối cùng của bạn không thay đổi gì. Bất cứ điều gì sai, hoặc đó là mong đợi cho một CA tự ký / tạo? Và trước khi tôi bắt đầu hack: công việc đó có nên không?
Izzy
OK, đã hoạt động và được chấp nhận với TinyCA CA tự tạo của tôi: openssl x509 -inform PEM -text -fingerprint -in cacert.pem > d6a2705a.0sau đó di chuyển khối base64 lên đầu bằng trình chỉnh sửa văn bản, đặt tệp vào /system/etc/security/cacerts/, chạy chown root:root d6a2705a.0chmod 0644 d6a2705a.0từ trong thư mục - et voila, nó xuất hiện dưới dạng chứng chỉ hệ thống đáng tin cậy . Yeehaa!
Izzy
@sgiebels Bạn có tình cờ cũng có giải pháp làm thế nào để sử dụng thông tin đăng nhập (từ thông tin đăng nhập hệ thống hoặc thông tin khác) trong kết nối mạng WLAN 802.11.1X không? Có vẻ như kho khóa / móc khóa trên thiết bị (/ data / misc / key ...) sử dụng mật khẩu để mã hóa, do đó: mỗi khi cần thông tin đăng nhập (kết nối với mạng WLAN), mã PIN / mật khẩu lại được yêu cầu ( trong hệ thống của tôi) khóa được bật lại.
Ivin
Điều này hoạt động tốt ngoại trừ tôi cũng gặp vấn đề với định dạng chứng chỉ do kết thúc dòng dos. dos2unix sẽ chuyển đổi chúng, sau đó kiểm tra xem bạn có kết thúc chính xác trên dòng chứng chỉ không (tôi trông giống như thế này: điều này -----END CERTIFICATE-----Certificate:cũng gây ra lỗi phân tích cú pháp.
deed02392
4

Tôi đã phát hiện ra một giải pháp hoạt động mà không cần sao chép phần mềm hoặc tệp thủ công bổ sung:

  1. Đặt màn hình khóa của bạn thành "mẫu". Nhập một mẫu và mã PIN mở khóa. Nhớ mã PIN mở khóa.
  2. Cài đặt chứng chỉ người dùng của bạn.
  3. Tắt và bật màn hình.
  4. Nhập sai mẫu một vài lần, cho đến khi "Quên mẫu?" tùy chọn xuất hiện.
  5. Nhấp vào "Quên mẫu?", Cuộn xuống, nhập mã PIN mở khóa và xác nhận với "OK".
  6. Đóng cửa sổ "Cài đặt mở khóa màn hình" bằng nút quay lại mà không chọn tùy chọn .

Hệ thống hiện được đặt thành "Mở khóa bằng cách vuốt", nhưng chứng chỉ người dùng vẫn có thể sử dụng được (đã được thử nghiệm với trình duyệt web và ứng dụng tùy chỉnh bằng DefaultHttpClient).

Đã thử nghiệm trên Android 4.1.2 trên Galaxy Tab 2 10.1.

Heinzi
nguồn
không hoạt động với wpa-Enterprise / TLS trên LG G2, certs đã biến mất sau đó
Eugene Petrov
Đây là một lỗi tuyệt vời! Cảm ơn! (hoạt động hoàn hảo với Galaxy S5, android 6)
Adiel
0

  • Bạn có thể sử dụng hồ sơ của CyanogenMod .
    (Đối với những độc giả khác: điều này cần phiên bản CyanogenMod Rom tùy chỉnh 9+)

    Chỉ cần tạo hoặc sửa đổi một hồ sơ hiện có và tắt "khóa màn hình" ở đó.

    Đó là: Cài đặt hệ thống-> Cấu hình-> Mặc định-> Chế độ màn hình khóa-> Đã tắt

  • Tích hợp chứng chỉ của bạn vào tệp kho khóa Android tiêu chuẩn

    Xem cách làm tuyệt vời của CAcert tại đây

    Tuy nhiên, tôi không chắc chắn nếu bạn có thể làm điều này với chứng chỉ tự ký (bạn có thể phải chuyển sang CA tự tạo (có thể sử dụng tinyca cho một công cụ gui đẹp trên * nix)).

ce4
nguồn
Điều này không hoạt động (nữa). Ngay sau khi bạn đã cài đặt các chứng chỉ (ví dụ: các chứng chỉ từ cacert.org), tùy chọn / mục này trong hồ sơ sẽ chuyển sang màu xám.
xanh
-1

Tôi đã tìm thấy một cách để giải quyết vấn đề, nhưng nó yêu cầu root và chỉ có thể hoạt động với các CA gốc, tự ký hoặc trung gian.

Nếu bạn có chứng chỉ không được Android tin cậy, khi bạn thêm chứng chỉ, nó sẽ đi vào cửa hàng chứng chỉ cá nhân. Khi bạn thêm chứng chỉ trong cửa hàng chứng nhận cá nhân này, hệ thống yêu cầu mức bảo mật cao hơn để mở khóa thiết bị. Nhưng nếu bạn quản lý để thêm chứng chỉ của mình vào cửa hàng hệ thống thì bạn không có yêu cầu này. Rõ ràng, root được yêu cầu để thêm chứng chỉ vào cửa hàng hệ thống, nhưng nó rất dễ dàng.

Đây là cách làm :

1 - Thêm chứng chỉ của bạn bình thường. Ví dụ, chứng chỉ của tôi đã được gọi some.crt. Nó sẽ được lưu trữ trong cửa hàng cá nhân của bạn và Android sẽ hỏi bạn mã pin / mật khẩu ... Tiếp tục.

2 - Với trình quản lý tệp có khả năng root, hãy duyệt tệp trong /data/misc/keychain/cacerts-addedhoặc /data/misc/keystore. Bạn sẽ thấy một tệp ở đây được gọi là 1000_USRCERT_somechứng chỉ bạn đã thêm ở bước 1.

3 - Di chuyển tệp này sang system/etc/security/cacerts (bạn sẽ cần gắn phân vùng hệ thống r / w)

4 - Khởi động lại điện thoại

5 - Bây giờ bạn có thể xóa mã pin / mật khẩu bạn đã đặt để mở khóa thiết bị.

Làm việc cho tôi với chứng chỉ tự ký trên Android 4.4.2. Hy vọng nó giúp!

máng xối
nguồn
Thật thú vị, rằng bạn đã không đề cập đến nguồn gốc , không được ghi nhận một cách thích hợp cho tác giả. Thực hiện theo Làm thế nào để tham khảo tài liệu được viết bởi người khác .
Firelord
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.