Jump to content
Abschaltung der Forum zum 03.01.2024 ×

Empfohlene Beiträge

Hallo Zusammen,

 

ich habe die TimeCard Version 6.03.02 im Einsatz, das WebTerminal ist von aussen über ein Apache mit ProxyPass über SSL mit Client-Authentifizierung erreichbar, funktioniert einwandfrei.

 

Mit der Android-App funktioniert das leider nicht mehr, die App bricht den Login mit folgender Fehlermeldung ab.

 

Die Anmeldung hat nicht funktioniert. Server nicht erreichbar. Mögliche Fehlerursachen: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.

 

Da die Anmeldung vom Browser aus funktioniert sollten alle Zertifikate richtig installiert sein.

 

Die App wird in der Version 6.03.03.23 ausgeführt, sollte auch https-fähig sein.

 

Hat jemand eine Idee oder schon HTTPS auf der APP am laufen?

 

 

Vielen Danke im Vorraus.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Selbes Problem hier. Squid Reverse Proxy, das WebTerminal erfolgreich nach außen per SSL abgesichert, bei der App: keine Chance.

 

Zertifikat ist von GeoTrust, also auch nicht selbst signiert, alle Zwischenzertifikate werden vom Server mit ausgeliefert (Test mit openssl s_client -debug -connect www.thedomaintocheck.com:443 liefert die komplette Certificate chain).

 

Es geht prinzipiell auch über den Reverse Proxy, ein HTTP-POST an die URL mit dem Inhalt, den auch die App sendet, wird erfolgreich beantwortet:

POST on https://www.thedomaintocheck.com/TimeCardApp

<?xml version="1.0" encoding="utf-8"?><soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Body soap:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><q1:getServerTime xmlns:q1="http://provider.soapservice.server.reinersct.com/" /></soap:Body></soap:Envelope>

 

Status: 200 OK

<?xml version="1.0" ?><S:Envelope xmlns:S="http://schemas.xmlsoap.org/soap/envelope/"><S:Body><ns2:getServerTimeResponsexmlns:ns2="http://provider.soapservice.server.reinersct.com/"><servertime>30.03.201714:47</servertime></ns2:getServerTimeResponse></S:Body></S:Envelope>

 

Meine Vermutung: die App greift nicht auf den zentralen Zertifikats-Speicher des Systems zu sondern hat ihren eigenen und der ist leer. Daher kann das Zertifikat nicht validiert werden. Ist prinzipiell ein besseres Vorgehen als einfach allen Zertifikaten zu vertrauen (was es leider oft genug gibt), führt in dem Fall aber leider zu einen noch schlimmeren Ergebnis, nämlich der vollkommen unverschlüsselten Übertragung.

 

Daher die Bitte an REINER SCT hier eine Lösung zu schaffen. Eure anderen Produkte stehen für Sicherheit, dieses hier für das Gegenteil.

 

[edit]

Der technische Hintergrund zu dem Fehler ist hier schön beschrieben: https://developer.android.com/training/articles/security-ssl.html#CommonProblems

[/edit]

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 2 months later...

Hallo! Wir hatten das Problem auch. Hierbei war es egal welcher Reverseproxy genutzt wurde. Im Einsatz ist NGinx, IIS und Apache2, es ging bei keinem. Auch war es egal, ob es die aktuelle Timecard Server Version ist oder nicht. Zusammen mit ReinerSCT hatten wir nun einige Wochen kontakt, um das Problem zu finden. Mit der neuen App geht es nun endlich wieder.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 1 month later...
×
×
  • Neu erstellen...

Wichtige Information

Diese Website verwendet Cookies – nähere Informationen dazu und zu Ihren Rechten als Benutzer finden Sie in unserer Datenschutzerklärung am Ende der Seite. Klicken Sie auf „Ich stimme zu“, um Cookies zu akzeptieren und direkt unsere Website besuchen zu können.