필수 PIN 잠금 화면없이 인증서 설치


23

구글 지원 말한다 :

허용되는 잠금 유형은 시스템 관리자가 미리 정할 수 있습니다.

수용 가능한 것을 어디에서 정의 할 수 있습니까? 필요한 경우 인증서를 다시 생성 할 수 있습니다.

슬라이드 잠금 화면을 다시 사용할 수 있습니다.

(CM9 RC1, Android 4.0.4를 사용하고 있습니다)


1
인증서를 시스템에 직접 설치하여 핀 요구 사항을 무시하는 솔루션을 수락합니다.
rdlu

1
신임 정보를 보호하려면 비밀 코드 (패턴, PIN 또는 비밀번호)가있는 잠금 화면 유형 중 하나를 사용해야합니다. 해당 회선에서 알려주는 바에 따르면 관리자는 일반적으로 Exchange ActiveSync 정책을 통해 전화를 잠글 수 있으므로 일부 유형의 전화 만 허용됩니다. 예를 들어 패턴 잠금을 신뢰하지 않을 수 있으며 PIN의 조합이 충분하지 않습니다. 이 보안 요구 사항을 해제 할 수있는 것은 아닙니다.
GAThrawn

2
@GAThrawn SSL을 통해 웹 서버를 인증하기 위해 CA를 설치하면 자체 서명 된 인증서를 사용하면 허용되지 않습니다. 기기의 키에 서명하거나 사용자를 인증하는 것과 관련하여 이해하고 있지만 둘 다 다른 방법입니다. 다행히 Sgiebels 솔루션 이 저에게 도움이 될 것 같습니다. 지금까지 단점 만 있습니다 : 루트가 필요합니다.
Izzy

답변:


2

토글 / 프로필을 사용하여 잠금 화면 보안을 비활성화 할 때의 문제는 잠금 화면 위젯이 나타나지 않아 슬라이드를 잠금 해제 할 수 없다는 것입니다. 또한 휴대 전화를 재부팅하면 설정을 다시 전환 할 때까지 버튼이 작동하지 않습니다.

다른 방법은 인증서를 평소대로 설치 한 다음 루트 탐색기와 같은 ACL을 ACL을 지원하는 위치에 보존하는 것을 사용하여 / data / misc / keychain 및 키 저장소 디렉토리를 백업하는 것입니다. / tmp에 복사하는 것이 좋습니다. 그런 다음 설정에서 자격 증명을 지우고 슬라이드 잠금 해제를 활성화하십시오. 그런 다음 / tmp에서 폴더를 다시 복사하십시오. CA가 설치됩니다.


더 이상 작동하지 않습니다. 어딘가에 인증서를 사용하려고하면 (예 : wifi 네트워크 연결 등) OS에서 화면 잠금을 다시 설정해야합니다.
코리 클라인

@CoryKlein 취소를 클릭하면 PIN을 입력하라는 메시지가 표시되고 마지막으로 설정 한 PIN을 입력 할 수 있습니다. 데이터를 해독해야합니다.
Monstieur

@Kurian-위의 지침에 따라 Wi-Fi 네트워크에 연결하려고하면 "잠금 화면 PIN을 설정해야합니다"라고 표시되고 "취소"를 클릭하면 아무 일도 일어나지 않습니다. "확인"을 누른 다음 거기에서 취소해도 여전히 PIN을 요청하지 않습니다.
Cory Klein

@CoryKlein 나는 당신의 이전 의견을 잘못 읽었습니다. VPN에 대해 이야기하고있었습니다. VPN에 연결하면 자격 증명을 해독 할 수있는 마지막 잠금 화면 PIN을 묻는 메시지가 나타납니다. 개인 키가있는 개인 인증서에서 작동하는지 모르겠습니다. 신뢰할 수있는 CA 인증서를 설치하는 데 효과적이라는 것을 알고 있습니다. 사용중인 특정 ROM 일 수도 있습니다. Pre-ICS AOSP ROM에는 VPN 자격 증명을 저장하기 위해 잠금 화면 PIN이 필요하지 않았습니다.
Monstieur

7

http://wiki.pcprobleemloos.nl/android/cacert의 "잠금 화면없이 '시스템'자격 증명으로 Android에 CAcert 인증서를 설치하는 방법"페이지에서이 작업을 정확하게 수행하는 방법에 대해 설명했습니다 .

나는 cyanogenmod 포럼에도 게시했습니다 : http://forum.cyanogenmod.com/topic/82875-installing-cacert-certificates-on-android-as-system-credentials-without-lockscreen/

기본적으로 명령은 다음과 같습니다.

openssl x509 -inform PEM -subject_hash_old -in root.crt | head -1

올바른 파일 이름을 얻으려면 인증서를 변환하십시오.

cat root.crt > 5ed36f99.0
openssl x509 -inform PEM -text -in root.crt -out /dev/null >> 5ed36f99.0

/ system / etc / security / cacerts /에 복사하고 새 .0 파일을 '644'로 chmod하십시오. 재부팅하고 확인하십시오. 당신의 안드로이드 장치에서 '증명서 지우기'를 선택하면 핀을 제거하고 (핀을 입력하고 잠금 화면을 '없음'또는 '와이프'로 변경하여 핀을 제거 할 수 있습니다

여기서는 CAcert 루트 인증서를 사용했지만 class3.crt 인증서를 원하거나 자체 인증서를 사용할 수도 있습니다.


"자신의 인증서"를 언급했습니다. 방금 "TinyCA를 사용하여 만든" "CA"로 시도했으며 마지막 단계 ( "알림")에서만 오류가 발생 140342119224992:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:696:Expecting: TRUSTED CERTIFICATE합니다. openssl 에서 인증서를로드 할 수 없음으로 확인 하면 .pem파일이 일치해야합니다. 그러나 마지막 명령은 아무것도 변경하지 않습니다. 자체 서명 / 생성 된 CA에 잘못된 것이 있습니까? 그리고 해킹을 시작하기 전에 그럼에도 불구하고 작동해야합니까?
Izzy

OK, 일을 내 스스로 만들어 TinyCA CA로 받아 들여졌다 : openssl x509 -inform PEM -text -fingerprint -in cacert.pem > d6a2705a.0다음, 텍스트 편집기를 사용하여 상단에 base64로 블록을 이동에 파일을 배치 /system/etc/security/cacerts/, 실행 chown root:root d6a2705a.0chmod 0644 d6a2705a.0디렉토리 내에서 - 외 짜잔, 그것은 신뢰할 수있는 최대 회전 시스템 인증 . 예하!
Izzy

@sgiebels 우연히 802.1X WLAN 연결에서 자격 증명 (시스템 자격 증명 또는 기타)을 사용하는 방법도 있습니까? 장치의 키 저장소 / 키 체인 (/ data / misc / key ...)이 암호화에 암호를 사용하는 것처럼 보입니다. 따라서 자격 증명이 필요할 때마다 (WLAN에 연결) PIN / 암호가 다시 요청됩니다 ( 내 시스템에서) 잠금 장치가 다시 켜져 있습니다.
Ivin

dos 줄 끝으로 인해 인증서 형식에 문제가있는 것을 제외하고는 잘 작동했습니다. DOS2UNIX은 다음 인증서 줄에 올바른 결말을 확인 변환합니다 (광산이처럼 보였다 : -----END CERTIFICATE-----Certificate:. 너무 구문 분석 오류가 발생하는
deed02392

4

추가 소프트웨어 나 수동 파일 복사없이 작동하는 솔루션을 발견했습니다.

  1. 잠금 화면을 "패턴"으로 설정하십시오. 패턴과 잠금 해제 PIN을 입력하십시오. 잠금 해제 PIN을 기억하십시오.
  2. 사용자 인증서를 설치하십시오.
  3. 화면을 껐다 켜십시오.
  4. "패턴을 잊었습니까?"까지 패턴을 잘못 여러 번 입력하십시오. 옵션이 나타납니다.
  5. "패턴을 잊어 버리셨습니까?"를 클릭하고 아래로 스크롤하여 잠금 해제 PIN을 입력 한 후 "확인"으로 확인하십시오.
  6. 옵션을 선택하지 않고 뒤로 버튼으로 "화면 잠금 해제 설정"창을 닫습니다 .

이제 시스템이 "스 와이프 잠금 해제"로 설정되었지만 사용자 인증서를 계속 사용할 수 있습니다 (DefaultHttpClient를 사용하여 웹 브라우저 및 사용자 정의 앱으로 테스트).

Galaxy Tab 2 10.1의 Android 4.1.2에서 테스트되었습니다.


LG G2에서 wpa-enterprise / TLS와 함께 작동하지 않습니다. 이후 인증서가 사라졌습니다
Eugene Petrov

이것은 큰 버그입니다! 감사! (Galaxy S5, android 6에서 완벽하게 작동)
Adiel

0
  • CyanogenMod의 프로필 을 사용할 수 있습니다 .
    (다른 독자의 경우 : 사용자 정의 CyanogenMod Rom 버전 9 이상이 필요합니다)

    기존 프로필을 만들거나 수정하고 "화면 잠금"을 끄십시오.

    시스템 설정-> 프로필-> 기본값-> 잠금 화면 모드-> 사용 안함

  • 인증서를 표준 Android 키 저장소 파일에 통합

    여기에서 CAcert의 훌륭한 하우투를 보십시오

    그러나 자체 서명 된 인증서 로이 작업을 수행 할 수 있는지 확실하지 않습니다 (자체 제작 CA로 전환해야 할 수도 있습니다 (* nix의 멋진 GUI 도구로 tinyca 사용)).


이것은 더 이상 작동하지 않습니다. 인증서 (예 : cacert.org의 인증서)를 설치하면 프로필의이 옵션 / 항목이 회색으로 표시됩니다.
blueyed

-1

문제를 해결하는 방법을 찾았지만 루트가 필요하며 루트, 자체 서명 또는 중간 CA에서만 작동 할 수 있습니다.

Android에서 신뢰할 수없는 인증서가있는 경우 추가하면 개인 인증서 저장소로 이동합니다. 이 개인용 인증서 저장소에 인증서를 추가 할 때 시스템 잠금을 해제하려면 시스템의 보안 수준이 더 높아야합니다. 그러나 인증서를 시스템 저장소에 추가하면이 요구 사항이 없습니다. 분명히 시스템 저장소에 인증서를 추가하려면 루트가 필요하지만 조용히 쉽습니다.

방법은 다음과 같습니다.

1-인증서를 정상적으로 추가하십시오. 예를 들어, 내 인증서는이라고했습니다 some.crt. 그것은 당신의 개인 상점에 저장되고 안드로이드는 당신에게 핀 / 암호를 요구합니다 ... 진행.

2-루트 기능이있는 파일 관리자를 사용하여 /data/misc/keychain/cacerts-added또는의 파일을 찾아보십시오 /data/misc/keystore. 여기에 1000_USRCERT_some1 단계에서 추가 한 인증서 라는 파일이 표시됩니다 .

3-이 파일을 다음 위치로 이동하십시오 system/etc/security/cacerts (시스템 파티션 r / w를 마운트해야합니다)

4-전화를 재부팅

5-이제 장치 잠금을 해제하도록 설정 한 핀 / 암호를 지울 수 있습니다.

Android 4.4.2에서 자체 서명 된 인증서로 나를 위해 일했습니다. 그것이 도움이되기를 바랍니다!


흥미롭게 도 원본 출처를 언급하지 않았으며 저자를 적절하게 평가하지 않았습니다. 다른 사람이 작성한 자료를 참조하는 방법을 따르십시오 .
Firelord
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.