必須のPINロック画面なしの証明書のインストール

23

Googleサポートの発言：

許容されるロックのタイプは、システム管理者によって事前に決定されている場合があります。

許容範囲を定義できる場所必要に応じて証明書を再生成できます。

そのため、スライドロック画面を再び使用できます。

（私はCM9 RC1、Android 4.0.4を使用しています）

security lock-screens certificates

— rdlu
ソース

1

証明書をシステムに直接インストールし、ピン要件をバイパスするソリューションを受け入れます。

— rdlu

1

資格情報を保護するには、何らかの種類のシークレットコード（パターン、PIN、またはパスワード）を持つロック画面タイプのいずれかを使用する必要があります。その行があなたに伝えているのは、管理者が電話をロックダウンして、それらの一部のタイプのみが受け入れられるようにすることができるということです、例えば、彼らはパターンロックを信頼しないかもしれず、 PINには十分な組み合わせがありません。このセキュリティ要件をオフにできると言っているわけではありません。

— GAThrawn

2

@GAThrawn CAをインストールしてSSL（自己署名証明書を使用）でWebサーバーを認証するだけでは受け入れられません。デバイス上のキーに署名するか、ユーザーを認証するかどうかは理解できますが、両方とも逆です。幸いなことに、sgiebelsのソリューションは私にとってはうまくいくようで、そこにあるコメントでいくつかの小さな調整を行いました。これまでの唯一の欠点：ルートが必要です。

— イジー

2

トグル/プロファイルを使用してロック画面のセキュリティを無効にすると、ロック画面ウィジェットも表示されないため、スライドしてロックを解除できないという問題があります。また、電話機を再起動すると、設定を再度切り替えるまでボタンは機能しません。

別の方法は、通常どおり証明書をインストールし、ルートエクスプローラーなどのACLを保持するものを使用して、ACLをサポートする場所に/ data / misc / keychainおよびキーストアディレクトリをバックアップすることです。それらを/ tmpにコピーすることをお勧めします。次に、設定から資格情報をクリアし、ロック解除スライドを有効にします。次に、/ tmpからフォルダーをコピーします。CAがインストールされます。

— モンスティール
ソース

これはもう機能しません。Wi-Fiネットワークへの接続など、どこかで証明書を使用しようとするとすぐに、OSで画面のロックを再度設定する必要があります。

— コリークライン

@CoryKlein [キャンセル]をクリックすると、PINの入力を求められ、最後に設定したPINを入力できます。データを復号化する必要があります。

— Monstieur

@Kurian-上記の手順に従いました。Wi-Fiネットワークに接続しようとすると、「ロック画面PINを設定する必要があります」と表示され、「キャンセル」をクリックしても何も起こりません。「OK」を押してそこからキャンセルしても、PINの入力は求められません。

— コリークライン

@CoryKlein前のコメントを読み違えました。私はVPNについて話していました。VPNに接続すると、資格情報を復号化するための最後のロック画面PINの入力を求められます。秘密鍵を使用した個人証明書で機能するかどうかはわかりません。信頼できるCA証明書をインストールするために機能することを知っています。使用している特定のROMである可能性もあります。ICSより前のAOSP ROMは、VPN資格情報を保存するためにロック画面PINを必要としませんでした。

— Monstieur

7

http://wiki.pcprobleemloos.nl/android/cacertの「ロックスクリーンなしで「システム」資格情報としてAndroidにCAcert証明書をインストールする-手順」ページでこれを正確に行う方法を説明しました。

cyanogenmodフォーラムにも投稿しました：http : //forum.cyanogenmod.com/topic/82875-installing-cacert-certificates-on-android-as-system-credentials-without-lockscreen/

基本的に、コマンドは次のとおりです。

openssl x509 -inform PEM -subject_hash_old -in root.crt | head -1

正しいファイル名を取得するには、証明書を変換します。

cat root.crt > 5ed36f99.0
openssl x509 -inform PEM -text -in root.crt -out /dev/null >> 5ed36f99.0

それらを/ system / etc / security / cacerts /にコピーし、新しい.0ファイルを「644」にchmodします。再起動して確認します。Androidデバイスで「Clear cerficates」を選択すると、ピンを削除できます（ピンを入力して、ロック画面を「なし」または「ワイプ」に変更します）

ここではCAcertルート証明書を使用しましたが、おそらくclass3.crt証明書も必要か、独自の証明書を使用します。

— sgiebels
ソース

「自分の証明書」に言及します。「TinyCAを使用して作成された」「CA」で試してみましたが、最後のステップ（「通知」）でエラーが発生するだけです140342119224992:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:696:Expecting: TRUSTED CERTIFICATE。Opensslで証明書をロードできませんでチェックすると、.pemファイルは一致するはずです。しかし、最後のコマンドは何も変わりません。何か問題がありますか、それとも自己署名/作成されたCAに期待されますか？そして、ハッキングを始める前に、それでも動作するはずですか？

— イジー

OK、働いていたと私の自己作成TinyCA CAで承認された：openssl x509 -inform PEM -text -fingerprint -in cacert.pem > d6a2705a.0、その後、テキストエディタを使用してトップにbase64でエンコードされたブロックを移動するにファイルを配置し/system/etc/security/cacerts/、実行するchown root:root d6a2705a.0とchmod 0644 d6a2705a.0、ディレクトリ内から-ら出来上がり、それが信頼できるとターンアップシステム証明書。イェーハー！

— イジー

@sgiebels偶然にも、802.1X WLAN接続で資格情報（システム資格情報など）を使用する方法がありますか？デバイスのキーストア/キーチェーン（/ data / misc / key ...）が暗号化にパスワードを使用しているように見えるため、資格情報が必要になるたびに（WLANへの接続）、PIN /パスワードが再度要求されます（私のシステムでは）ロックが再びオンになります。

— イヴィン14

これはうまく機能しましたが、DOSの行末が原因で証明書のフォーマットに関する問題も発生しました。dos2unixはそれらを変換し、証明書行に正しい終了があることを確認します（私のように見えました：-----END CERTIFICATE-----Certificate:これも解析エラーを引き起こしました。

— deed0239217年

4

追加のソフトウェアや手動のファイルコピーなしで機能するソリューションを発見しました。

ロック画面を「パターン」に設定します。パターンとロック解除PINを入力します。ロック解除PINを覚えておいてください。
ユーザー証明書をインストールします。
画面のオンとオフを切り替えます。
「パターンを忘れましたか？」まで、パターンを数回間違えて入力します。オプションが表示されます。
[パターンを忘れましたか？]をクリックし、下にスクロールしてロック解除PINを入力し、[OK]で確認します。
オプションを選択せずに戻るボタンで「画面ロック解除設定」ウィンドウを閉じます。

システムは「スワイプロック解除」に設定されましたが、ユーザー証明書は引き続き使用可能です（WebブラウザーとDefaultHttpClientを使用したカスタムアプリでテスト済み）。

Galaxy Tab 2 10.1上のAndroid 4.1.2でテスト済み。

— ハインジ
ソース

LG G2のwpa-enterprise / TLSで動作しません。この後、証明書は消えました

— Eugene Petrov

これは大きなバグです！ありがとう！（ギャラクシーS5、アンドロイド6で完全に動作）

— アディエル

0

CyanogenModのプロファイルを利用できます。
（他の読者の場合：これにはカスタムCyanogenMod Romバージョン9+が必要です）

既存のプロファイルを作成または変更し、そこで「画面ロック」をオフにするだけです。

システム設定->プロファイル->デフォルト->ロック画面モード->無効
証明書を標準のAndroidキーストアファイルに統合します

CAcertの優れたハウツーはこちらをご覧ください

ただし、自己署名証明書を使用してこれを実行できるかどうかはわかりません（多分、自作のCAに切り替える必要があります（* nixの素敵なguiツールにはtinycaを使用します）。

— ce4
ソース

これは機能しません（もう）。証明書（cacert.orgの証明書など）をインストールするとすぐに、プロファイル内のこのオプション/項目はグレー表示されます。

— 13

-1

問題を解決する方法を見つけましたが、ルートが必要であり、ルートCA、自己署名CA、または中間CAでのみ機能する場合があります。

Androidによって信頼されていない証明書がある場合、追加すると、個人の証明書ストアに入ります。この個人証明書ストアに証明書を追加すると、システムはデバイスのロックを解除するためにより高いセキュリティレベルを必要とします。ただし、証明書をシステムストアに追加する場合は、この要件はありません。明らかに、システムストアに証明書を追加するにはルートが必要ですが、静かで簡単です。

方法は次のとおりです。

1-通常どおり証明書を追加します。たとえば、私の証明書はと呼ばれていましたsome.crt。それはあなたの個人ストアに保存され、アンドロイドはピン/パスワードを尋ねます...続行します。

2-ルート機能を備えたファイルマネージャーを使用して、/data/misc/keychain/cacerts-addedまたはでファイルを参照します/data/misc/keystore。ここに1000_USRCERT_some、ステップ1で追加した証明書というファイルが表示されます。

3-このファイルを移動しますsystem/etc/security/cacerts （システムパーティションr / wをマウントする必要があります）

4-電話を再起動します

5-これで、デバイスのロックを解除するために設定したPIN /パスワードをクリアできます。

Android 4.4.2で自己署名証明書を使用して作業しました。それが役に立てば幸い！

— ガターモンク
ソース

おもしろいことに、元のソースについて言及しなかったこと、著者を適切に評価しなかったこと。他の人が書いた資料の参照方法に従ってください。

— 消防士