[Tutorial] INSTALAR CERTIFICADOS EN EL GALAXY S para autenticacion en dominios

[migmat]

INSTALAR CERTIFICADOS EN EL GALAXY S PARA ACCESO DOMINIO (WIFI-WPA2 ) Y OTROS USOS DE AUTENTICACION EN UN DOMINIO Y CONEXIÓN CON CLIENTE CITRIX ANDROID A UN SERVIDOR CORPORATIVO CON GALAXY S

Por Miguel A. Maroto

(si se usa esta información en otra página, pido que citeis el autor y el origen)



No he encontrado mucho sobre este tema en la red y creo que es necesario aclarar este punto de los Cerificados, si bien es un tema poco extendido por el momento, aunque en un futuro no se podrá operar sin ellos (mas nos vale!).

Este tutorial describe la instalación de certificados y conexión exitosa a un servidor de Citrix, es decir, lo aquí descrito está funcionando.
---------------------------------------------------------------------------------------------


PARTE A (Instalar certificados PARA UN SERVIDOR coRPORATIVO)

1. CONSEGUIR CERTIFICADO en FORMATO PFX
Conseguir los certificados PFX de
-micertificado.pfx

LA CLAVE PRIVADA de ambos es “MiclaverDeAccesoACertificado” sin comillas.

Los Certificado PFX son un tipo P12 y (son equivalentes a los .CER+ Clave Privada) que incluye el certificado y la clave privada, que se ha exportado conjuntamente con el certificado.
Cuando no se exporta la calve privada solo se permite cerificado tipo .CER (o PKCS7, o PA7) que tienen un nivel de autenticación menor.

2. Para poner estos certificados (u otros) en un galaxy s, o un android 2.1, es necesario copiar el fichero de certificado micertificado.pfx , pero cambiando la extensión a .P12 de otra manera no lo verá el Galaxy S. Por supuesto, es necesario conocer la clave interna del certificado en cuestión, que en este caso concreto es “MiclaverDeAccesoACertificado sin comillas.

3. INSTALACIÓN de los CERTIFICADOS en el GALAXY S
Se copian el archivo micertificado.p12 en directorio raíz de la SD (no de la SDCARD interna del Galaxy).
Se va a AJUSTES -> UBICACIONE y SEGURIDAD -> INSTALAR CERTIFICADOS -> Seguir los pasos .

Aquí aparece un segundo problemas en el GALAXY S.

CONTRASEÑA DE ALMACENAMIENTO.
Es una contraseña interna (desconocida por ahora) que permite gestionar el almacenamiento de certificados en el galaxy para que ninguna persona extraña pueda suplantar al usuario legitimo.
Por ello , el Galaxy dispone en el apartado de configuración que se accedió antes, de opciones para definir, borrar y cambiar dicha contraseña.
Esta contraseña no la conocen ni SAMSUNG España (Ni en Atención al Cliente ni en el Servicio Técnico. No esperaba esto de Samsung y ahora comprendo el éxito de Iphone 4)
La forma de superar el asunto es relativamente “fácil”.

En el Samsung GALAXY S (y supongo que en todo android 2.1), vas a AJUSTES-> Ubicación y Seguridad y picar en el tic Usar Credenciales Seguras.
Aquí nos pide una contraseña (que no sabemos). PONLE CUALUIERA porque lo que queremos es resetear el sistema de almacenamiento de credenciales.
Dirá que la contraseña es errónea (en texto rojo).
Tenemos que hacerlo tres veces para resetear el Almacenamiento de Contraseñas y la calve de almacenamiento de contraseñas.
Una vez borrado el almacenamiento de contraseñas, le damos (en la misma pagina de Ubicación y Seguridad) a Definir Contraseña o Usar Credenciales Seguras y, POR FIN, el sistema nos pide nuestra propia contraseña (un numero de 8 cifras, por ejemplo, 12345678).

La escribes y la repites en el recuadro inferior y das a OK.

Ya lo tienes.

Ahora puedes instalar tu certificado PFX (terminado en .p12) y sabiendo la contraseña de acceso al certificado (distinta de la de almacenamiento de certificados del movil, que hemos definido antes) y la contraseña de almacenamiento podemos instalar sin problemas un certificado .P12 en un Samsung Galaxy S o en cualquier Android 2.1

Recordatorio
-----------------
QUE HACE FALTA PARA INSTALAR UN CERTIFICADO EN UN SALSUNG GALAXY S
1. Certificado tipo .PFX (o exportado de un .CER con la utilidad de Windows certmgr.msc – ver su uso en otro sitio). Debe tener exportada la clave privada en el certificado
2. Cambiar la extensión PFX a P12
3. Cargar el certificado en la raiz de la SD
4. Clave del certificado (esportada en el certificado)
5. Clave de almacenamiento de certificados del Samsung (explicada antes).

Es importante activar el tic AJUSTES -> Ubicacione y Seguridad -> Usar Credenciales Seguras para que el SGS permita a las palicaciones consultar los certificados.

---------------------------------------------------------------------------------------------------
PARTE B (Conexión con cliente Citrix Android a un Servidor Corporativo de SenServerApp con un Galaxy S
---------------------------------------------------------------------------------------------------

Se puede realizar una conexión a un Servidor de Citrix Corporativo (SenServerApp), mediante un Samsung Galaxy S u otro dispositivo Android (Galaxy TAB), empleando el cliente Android de Citrix que esta en el Market “Citrix Receiver 2.0.1043”

• Pedir el alta en el servicio de Usuarios de Citrix (servicio de acceso remoto al servidor de Citrix) de tu Centro Corporativo (Empresa Administración, etc). Esto normalmente lo lleva el CAU de tu Centro.
• Al igual que cualquier aplicación Android, se descarga y se instala en el móvil de la forma habitual.

• Se ejecuta el cliente Citrix y se configura de la siguiente manera:
o Pulsar en “Add Store” para crear una conexión a un servidor de Citrix:
o En la ventana Addres se pone la dirección del servidor de aplicaciones del MICINN =https://MiPaginaDeAccesoAlServidorCItrix.org
o En la ventana User Name se pone el nombre de usuario del dominio en el MICINN (Ej. Pepito.perez).
o En la ventana Password se pone tu passsword de dominion, aunque si el servidor tiene desactivada la opciópn de almacenar contraseñas, no se deberá poner nada, ya que el servidor te la pedirá cada vez que entres.
o En la ventana Domain se pone el nombre del dominio del DOMIO CORPORATIVO= MidominioCorporativ.com.
o Se activa el Tic Use Citrix Access Gateway (siempre que tu servidor SenServerApp lo tenga activado
o En Gateway Type, se pone el modo Enterprise.
o En Gateway Authentication Type se pone Domain Only (normalmente esta, pero depende de la configuración de tu dominio. Puede tener activada la opcion RSA también, en cuyo caso hay que ponerlo.
o Se pulsa en Save.
• Se ejecuta el cliente de Citrix y (tras un pausa de conexión la primera vez) nos debe aparecer una lista de aplicaciones, correspondiente al grupo a que se nos haya incorporado al darnos de alta en este servicio (se entiende que ya se ha obtenido el alta en el servicio de acceso remoto al servidor de Citrix Corporativo de tu empresa.
• A partir de este momento la sesión de conexión es casi idéntica a la que se realiza desde un PC remoto mediante Citrix.
-En este caso hay que usar el Zoom del móvil para acceder a los distintos detalles de pantalla (consultar la Help del cliente Citrix respecto al uso con un móvil táctil.)

Fin del Tutorial


(aunque me gustaría, no podre contestar aclaraciones sobre este tutorial, quedando entendido que cualquier maluso o perjuicio derivado de su aplicación es responsabiliad externa del usuario que lo ejecute.)

[vvaleta]

@migmat subido al hilo de tutos.

[intronauta]

brutal tio,muy bueno. Habrá que tenerlo a mano.

[juanicoenfer]

Migmat, lo primero de todo: GRACIAS!

Sé que te vas a tirar de los pelos cuando leas esto, pero en froyo 2.2.1 (jpu) los de samsung han arreglado eso de la contraseña de almacenamiento, viniendo desactivada por defecto y pidiéndote que la definas en el primer uso. Así mismo existe una opción para borrar el almacenamiento de los certificados y restablecer la contraseña. (lo siento)

Por otra parte me surge un problema que creo que no va a tener solución, y es que mi "organización" utiliza para autenticarse en citrix, además de nombre y usuario, certificado en *.cer con clave privada, la cual me pide al exportar a p7b e instalar en el galaxy tras el renombre a p12 (ya me sé la respuesta si la solicito....). Lo suyo, imagino, sería que el galaxy aceptase los *.cer, ¿me equivoco? ¿Qué opinas?

[juanicoenfer]

Actualizo: parece ser que Gingerbread traerá soporte para certificados CA

http://code.google.com/p/android/issues/detail?id=11108

Tiembla Apple.....

[migmat]

Os agradezco la lectura del post, pero al leerlo de nuevo vo que he sido poco didactico.

Como digo en eltitulo, la version Ecalir 2.1 tambien se pude resetear (es la ultima opcionde ese menú, si no me equivoco).

COmprendo que no te den la clave delcertificado .CER, pero siempre pueden escibirla cuando instales los certificados en el SGS, no?.

Resumo, el certificado .CER es igual a un CA7+ clave. Si el SGS puede en un futuro incluir certificado sin clave, mejor, pero lo suyo es tener la clave interna del certifiaco.

[Miorat]

Perdondad mi ignorancia. Pero, para que sirve esto exáctamente???

[juanicoenfer]

 Cita: Originalmente Escrito por Miorat

Perdondad mi ignorancia. Pero, para que sirve esto exáctamente???

Pues para flipar de móvil, para qué va a ser....

Ahora en serio, parece que la cosa se ha liado un poquito, así que voy a tratar de resumirla "a mi manera...."

Usamos normalmente dos tipos de certificados: los personales y los emitidos por otras entidades.

Los primeros son del tipo de los certificados de FNMT y sirven, por ejemplo, para pedir la vida laboral, acceder a nuestra carpeta personal en ayuntamientos, firmar la declaración de la renta, autenticarnos en clientes citrix, etc. Aquí se podría englobar también el DNI electrónico, pero creo que éste no se puede exportar. También podrían hacernos otros certificados personales, todo depende de quién lo valide y en dónde. Para exportar desde nuestro ordenador e instalarlo en el SGS se siguen los pasos del tuto de Migmat.
Ahora queda lo difícil: usarlo. Resulta que nuestro androide no utiliza la JVM de java, sino la KVM (si no me equivoco) que es la versión para móviles, o lo que es lo mismo, una versión reducida de la máquina virtual de java. Cuando enlazamos con cualquier navegador android (probado con opera, firefox, dolphin y el de serie) con una página que requiere del certificado personal, por ejemplo la página de la ss para obtener la vida laboral, dicha página no puede obtener acceso al certificado al no tener la JVM nuestro teléfono.
Actualmente hay aplicaciones de terceros, como Viafirma (gracias al compi @Beldis ) disponible en el market que se ofrece como plataforma "intermediaria" que da acceso al certificado almacenado. El inconveniente es que para ello las páginas web deben enlazar con viafirma y eso, a no ser una empresa cuyos clientes, comerciales, proveedores, etc. usen terminales android pues como que no va a ser. Otra aplicación es el cliente citrix, ésta muy útil, cuyo funcionamiento ya lo explica Migmat.

Sobre los otros certificados, los certificados CA, estos "validan" la conexión entre cliente y servidor (dicho a lo bestia). Aquí estamos en las mismas que en el punto anterior, pero con un añadido más y que es en donde han surgido las grandes quejas para Android: autenticación en redes 802.1x Y es que hay algunas universidades, centros de investigación, empresas, etc que tienen la manía de usar este método de protección. Si usamos nuestro android para conectarnos vemos que identifica la red (chachi!), pero nos pide que seleccionemos certificado CA. Aquí es donde nos encontramos con el problema, no podemos importar certificados *.cer desde android y no podemos convertir un *.cer a, por ejemplo, pfx sin saber la clave privada. Una opción es preguntar: ¿Oye, me dices la clave privada de tu certificado y comprometes la seguridad de tu organización? o tal vez ¿te importa que te deje el móvil para que me instales el certificado?, pero como se ve que no ha tenido mucho éxito hay por ahí un tipo que se ha currado una solución genial. El tipo en cuestión se llama Brian Kelly y lo que ha hecho es una aplicación web que permite subir el *.cer a un servidor que le añade unas líneas de código php para que el navegador de android lo identifique como certificado y lo instale. Problema solucionado! (por lo menos para lo de las redes)

La página del tipo en cuestión es http://www.realmb.com Hay que subir el certificado desde un pc y luego enlazar a la página que te indica desde el navegador de android (aquí chrome to phone viene de lujo) y ya lo tenemos instalado y listo para poder seleccionarlo cuando queramos/podamos.

Chaíto.

PD.: prohibido usar este mensaje en otro foro sin aclarar que no tengo ni p*t* idea de certificados más allá de lo aquí escrito y de lo que me ha iluminado San Google Bendito.

[Miorat]

 Cita: Originalmente Escrito por juanicoenfer

Pues para flipar de móvil, para qué va a ser....

Ahora en serio, parece que la cosa se ha liado un poquito, así que voy a tratar de resumirla "a mi manera...."

Usamos normalmente dos tipos de certificados: los personales y los emitidos por otras entidades.

Los primeros son del tipo de los certificados de FNMT y sirven, por ejemplo, para pedir la vida laboral, acceder a nuestra carpeta personal en ayuntamientos, firmar la declaración de la renta, autenticarnos en clientes citrix, etc. Aquí se podría englobar también el DNI electrónico, pero creo que éste no se puede exportar. También podrían hacernos otros certificados personales, todo depende de quién lo valide y en dónde. Para exportar desde nuestro ordenador e instalarlo en el SGS se siguen los pasos del tuto de Migmat.
Ahora queda lo difícil: usarlo. Resulta que nuestro androide no utiliza la JVM de java, sino la KVM (si no me equivoco) que es la versión para móviles, o lo que es lo mismo, una versión reducida de la máquina virtual de java. Cuando enlazamos con cualquier navegador android (probado con opera, firefox, dolphin y el de serie) con una página que requiere del certificado personal, por ejemplo la página de la ss para obtener la vida laboral, dicha página no puede obtener acceso al certificado al no tener la JVM nuestro teléfono.
Actualmente hay aplicaciones de terceros, como Viafirma (gracias al compi @Beldis ) disponible en el market que se ofrece como plataforma "intermediaria" que da acceso al certificado almacenado. El inconveniente es que para ello las páginas web deben enlazar con viafirma y eso, a no ser una empresa cuyos clientes, comerciales, proveedores, etc. usen terminales android pues como que no va a ser. Otra aplicación es el cliente citrix, ésta muy útil, cuyo funcionamiento ya lo explica Migmat.

Sobre los otros certificados, los certificados CA, estos "validan" la conexión entre cliente y servidor (dicho a lo bestia). Aquí estamos en las mismas que en el punto anterior, pero con un añadido más y que es en donde han surgido las grandes quejas para Android: autenticación en redes 802.1x Y es que hay algunas universidades, centros de investigación, empresas, etc que tienen la manía de usar este método de protección. Si usamos nuestro android para conectarnos vemos que identifica la red (chachi!), pero nos pide que seleccionemos certificado CA. Aquí es donde nos encontramos con el problema, no podemos importar certificados *.cer desde android y no podemos convertir un *.cer a, por ejemplo, pfx sin saber la clave privada. Una opción es preguntar: ¿Oye, me dices la clave privada de tu certificado y comprometes la seguridad de tu organización? o tal vez ¿te importa que te deje el móvil para que me instales el certificado?, pero como se ve que no ha tenido mucho éxito hay por ahí un tipo que se ha currado una solución genial. El tipo en cuestión se llama Brian Kelly y lo que ha hecho es una aplicación web que permite subir el *.cer a un servidor que le añade unas líneas de código php para que el navegador de android lo identifique como certificado y lo instale. Problema solucionado! (por lo menos para lo de las redes)

La página del tipo en cuestión es http://www.realmb.com Hay que subir el certificado desde un pc y luego enlazar a la página que te indica desde el navegador de android (aquí chrome to phone viene de lujo) y ya lo tenemos instalado y listo para poder seleccionarlo cuando queramos/podamos.

Chaíto.

PD.: prohibido usar este mensaje en otro foro sin aclarar que no tengo ni p*t* idea de certificados más allá de lo aquí escrito y de lo que me ha iluminado San Google Bendito.

Gracias por la explicación, pero me quedo igual

No entiendo ni papa jejeje a ver si me lo leo mas tranquilamente e indago un poco...

[juanicoenfer]

Pues a no ser que te conectes a alguna aplicacion mediante citrix o a alguna 802.1x ni te molestes que de momento no va a servir para más, si no me corrige alguien.

S2

Sent from my GT-I9000 using Tapatalk

[wlozo10]

hola tengo el soni ericsson xperia x8 y no se como instalarle la memoria SD ya que me pide el archivo .p12 y no se que hacer.. si alguien me puede ayudar les agradeceria muchisimo...


una pregunta como consigo el archivo .p12??????

[CaboRoig]

He instalado correctamente los certificados, siguiendo estas instrucciones, pero cuando intento utilizarlos no puedo, en los distintos sitios (AEAT, Ayuntamiento Madrid, etc.). ¿Hay algo más que pueda hacer?. Gracias

[oscarsanch]

 Cita: Originalmente Escrito por Miorat

Gracias por la explicación, pero me quedo igual

No entiendo ni papa jejeje a ver si me lo leo mas tranquilamente e indago un poco...

Se agradece tus minutos de vida para los que como yo (novatillo en esto de android..) nos pongamos al dia.

Una pregunta, podria alguna aplicacion maliciosa instalada en mi android suplantar mi identidad con el certificado instalado?

[oscarsanch]

[quote=oscarsanch;3100312]Se agradece tus minutos de vida para los que como yo (novatillo en esto de android..) nos pongamos al dia.

[Farallon]

Hola amigos, soy un novato que he leido todos los post, pero no consigo instalar el certificado digital. He seguido cada uno de los pasos, pero no puedo cpoiar en la raid de la SD el certificado. me decís como lo puedo hacer? y Donde está la raid de la SD. No la encuentro en mi GxSII. Gracias y saludos

[sue_90]

Hola amigos, al instalar un certificado (FMNT), me pide que introduzca un patrón de bloqueo( el que aparece cuando le desbloqueas el movil). la cosa es que se lo quiero quitar ya que es un coñazo que cada vez que quiero acceder al móvil me lo pide....
Sabéis alguna la manera de seguir teniendo el certificado instalado y quitar el patrón de bloqueo?
Es que cuando lo intento quitar me pide que borre el almacén de credenciales de confianza.¿existe alguna manera u algo?
Muchas gracias compañeros de Ante mano!

P.D.: tengo el SGS2 con Cyanogen mod 9, con Andoird 4.0.4

[sandemans]

Muy buenas.
Tengo el Google Nexus 4 y se instala el certificado digital y demas pero si quiero meterme en páginas como la dgt o cualquier otra que me pida certificado no funcionan. En el pc hay que hacerlo de otro modo pero....Cómo se hace en Android?
Graciass

[Dexafree]

Eso deberias preguntarlo en el subforo del N4