Vorgeschichte

Manchmal ist das mobile Web Fluch und Segen zugleich. So habe ich vor einer Weile auf meinem Desktop Rechner begonnen mir ein StartSSL Zertifikat zu erstellen und weil die Zeit zu knapp war, habe ich den Abschluss der Registrierung auf dem Handy über mobiles Internet vorgenommen. Da wusste ich noch nicht, dass es sowas wie Client Zertifikate überhaupt gibt, geschweige denn das sie von StartSSL für den Login benötigt werden. So habe ich nach einer Möglichkeit gesucht, das Zertifikat vom Handy an meinen Desktop zu transferieren um mich auch da mit dem Client Zertifikat anmelden zu können. Da ich nirgends eine einfache Anleitung gefunden, es aber letzendlich doch hinbekommen habe, möchte ich im Folgenden kurz erläutern wie es funktioniert.

Benötigt werden:

  • Android Filemanager (ggf. mit Rootzugriff)
  • certutil
  • pk12util

Benötigte Dateien besorgen

Damit das Zertifikat auf einen anderen (Desktop) Rechner übertragen werden kann, muss man sich die Dateien cert9.db und key4.db vom Handy besorgen. Da diese direkt im Systemverzeichnis hinterlegt werden, war bei mir Root Zugriff auf dem Telefon notwendig. Zum kopieren selbst habe ich den mc ähnlichen Ghost Commander aud dem F-Droid Repository verwendet.

Dateien kopieren und konvertieren

Die oben genannten Dateien können nun auf den Zielrechner in ein beliebiges Verzeichnis, z.B. ~/client_cert kopiert werden. Nach dem Wechsel in das Verzeichnis via cd ~/client_cert muss man sich zunächst mit dem Tool certutil den Namen des Zertifikates anzeigen lassen:

certutil -K -d sql:.

Certutil Ausgabe

Danach kann mit dem Tool pk12util die pk12 Datei aus dem Zertifikat extrahieren,

pk12util -d sql:. -o out.p12 -n "<NAME> StartCom Ltd. ID"

wobei mit dem von certutil ausgegebenen Wert ersetzt werden muss. Im meinem Fall war das meine bei der StartSSL angegebene E-Mail Adresse.
Dabei wird man nach einem Passwort gefragt, welches kurz notiert oder im Passwortmanager eurer Wahl gespeichert werden sollte.
Nun sollte sich eine Datei out.p12 in dem Verzeichnis befinden, welche im nächsten Schritt in den Browser (Firefox) importiert werden kann.

Zertifikat in Firefox importieren

Der letzte Schritt ist das Importieren der eben erzeugten out.p12 Datei in Firefox (oder einen anderen Browser eurer Wahl). Möglich ist dies in den Firefox Einstellungen unter Advanced->Certificates->View Certificates.

[Firefox Import](/content/images/2015/12/cert_import.png" rel="lightbox)

Dort einfach auf Import klicken, die out.p12 Datei auswählen und wenn man danach gefragt wird, das oben notierte Passwort eingeben. Nun sollte es möglich sein mit dem Browser auf die Administrationsseite von StatSSL zugreifen zu können.