Jump to content
Achtung: Änderung bei Anmeldung im Forum! Weiterlesen... ×

Empfohlene Beiträge

Hallo Zusammen,

 

ich habe die TimeCard Version 6.03.02 im Einsatz, das WebTerminal ist von aussen über ein Apache mit ProxyPass über SSL mit Client-Authentifizierung erreichbar, funktioniert einwandfrei.

 

Mit der Android-App funktioniert das leider nicht mehr, die App bricht den Login mit folgender Fehlermeldung ab.

 

Die Anmeldung hat nicht funktioniert. Server nicht erreichbar. Mögliche Fehlerursachen: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.

 

Da die Anmeldung vom Browser aus funktioniert sollten alle Zertifikate richtig installiert sein.

 

Die App wird in der Version 6.03.03.23 ausgeführt, sollte auch https-fähig sein.

 

Hat jemand eine Idee oder schon HTTPS auf der APP am laufen?

 

 

Vielen Danke im Vorraus.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Selbes Problem hier. Squid Reverse Proxy, das WebTerminal erfolgreich nach außen per SSL abgesichert, bei der App: keine Chance.

 

Zertifikat ist von GeoTrust, also auch nicht selbst signiert, alle Zwischenzertifikate werden vom Server mit ausgeliefert (Test mit openssl s_client -debug -connect www.thedomaintocheck.com:443 liefert die komplette Certificate chain).

 

Es geht prinzipiell auch über den Reverse Proxy, ein HTTP-POST an die URL mit dem Inhalt, den auch die App sendet, wird erfolgreich beantwortet:

POST on https://www.thedomaintocheck.com/TimeCardApp

<?xml version="1.0" encoding="utf-8"?><soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Body soap:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><q1:getServerTime xmlns:q1="http://provider.soapservice.server.reinersct.com/" /></soap:Body></soap:Envelope>

 

Status: 200 OK

<?xml version="1.0" ?><S:Envelope xmlns:S="http://schemas.xmlsoap.org/soap/envelope/"><S:Body><ns2:getServerTimeResponsexmlns:ns2="http://provider.soapservice.server.reinersct.com/"><servertime>30.03.201714:47</servertime></ns2:getServerTimeResponse></S:Body></S:Envelope>

 

Meine Vermutung: die App greift nicht auf den zentralen Zertifikats-Speicher des Systems zu sondern hat ihren eigenen und der ist leer. Daher kann das Zertifikat nicht validiert werden. Ist prinzipiell ein besseres Vorgehen als einfach allen Zertifikaten zu vertrauen (was es leider oft genug gibt), führt in dem Fall aber leider zu einen noch schlimmeren Ergebnis, nämlich der vollkommen unverschlüsselten Übertragung.

 

Daher die Bitte an REINER SCT hier eine Lösung zu schaffen. Eure anderen Produkte stehen für Sicherheit, dieses hier für das Gegenteil.

 

[edit]

Der technische Hintergrund zu dem Fehler ist hier schön beschrieben: https://developer.android.com/training/articles/security-ssl.html#CommonProblems

[/edit]

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo! Wir hatten das Problem auch. Hierbei war es egal welcher Reverseproxy genutzt wurde. Im Einsatz ist NGinx, IIS und Apache2, es ging bei keinem. Auch war es egal, ob es die aktuelle Timecard Server Version ist oder nicht. Zusammen mit ReinerSCT hatten wir nun einige Wochen kontakt, um das Problem zu finden. Mit der neuen App geht es nun endlich wieder.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×