Radicale erlaubt keine Connection mit Android

[horatio]

Komische nummer:
Ich habe einen pi frisch mit raspbian bespielt und darauf nach Anleitung einen radicale Server eingerichtet, inkl. Self Signet Root ca und Cert.

An Windows mit thunderbird läuft alles, ich kann in diversen Browsern die mgmt ui aufrufen und im thunderbird Kalender eintragen.

Auf dem Telefon verweigert jeder Browser die Verbindung net::ERR_CONNECTION_REFUSED
Chrome, Firefox, duckduckgo
Auch nachdem ich das root ca cert installiert habe. Davx5 meckert ebenfalls.

Was habe ich da nur übersehen?

 

[mtu]

Zumindest für den Android-Firefox weiß ich sicher: Man muss durch extra brennende Reifen springen, bevor er das Android-eigene Cert-Storage berücksichtigt. Ansonsten bezieht er sich nur auf seine eigenen, mitinstallierten Root-Certs, und da gehört Deins nicht dazu. Hier steht, was man machen muss: https://blog.jeroenhd.nl/article/firefox-for-android-using-a-custom-certificate-authority

Die entscheidenden Schritte sind:

• Go to "About Firefox"
• Tap the Firefox logo seven times
• Go back one level. You should have now have access to "Secret Settings", the second or third setting from the bottom
• Enable the tick "Use third party CA certificates".

Was Davx5 für ein Problem haben könnte, weiß ich allerdings nicht. Ich benutze radicale mit CalDAV-Sync. Die Einrichtung ist ein fummeliger Albtraum, aber wenn es einmal läuft, ist es sehr komfortabel.

 

[Mornsgrans]

Sollte in Davx5 beim einrichten eines Kontos einzustellen sein, dass auch unsichere Zertifikate zugelassen werden sollen.

 

[horatio]

Danke euch beiden für eure Beiträge.
Hier kann ich maximal Abends dran basteln, daher dauert meine Reaktion.

Beim Desktop Browser muss ich korrigieren, Edge und Chrome weisen ebenfalls und weisen mit ERR_CONNECTION_REFUSED die Verbindung zurück.
Also alles außer Firefox/Thunderbird verweigert eine Verbindung, das Installieren des Root-CA-Certs in den Speicher von Windows hat auch nicht geholfen. - Auch Firefox warnt weiterhin, nachdem es dort im Speicher installiert wurde.
Ja, der Haken in Davx5 für unsecured certs ist gesetzt.

Unterm Strich sehe ich also ein prinzipielles Problem mit SSL, entweder vlt. Serverseitige Config, oder Cert-Config, oder Clientseitig.

 

[Lufo]

Das Handy ist schon im selben Netz (WLAN) ? Namensauflösung klappt? Adresse-/Port ist richtig?

 

[horatio]

Ja, die Basics sind alle da.

 

[mtu]

Offen gesagt klingt net::ERR_CONNECTION_REFUSED (wenn das wirklich die einzige und komplette Fehlermeldung ist) eher nach einem Problem mit der Verbindung (Firewall, Port nicht offen o.dgl.).

Hat Dein Zertifikat Subject Alternative Names (SAN) definiert? Das führt seit ein paar Jahren zu Verbindungsfehlern, wenn nicht vorhanden.

 

[horatio]

Eine Verbindung besteht. SSH-Client geht, auch vom Android aus.
Am selben Rechner kann ich mit Firefox eine Verbindung aufbauen und Edge/Chrome nicht.
Ich habe nochmal die Ausnahme bei Firefox zurückgenommen, dort ist die Fehlermeldung SEC_ERROR_UNKNOWN_ISSUER, was auch soweit ok ist nach Doku, denn er kennt ja das self signed CA cert nicht.
Aber auch dort bleibt der Fehler, wenn ich dieses CA importiere.

Aber ja, die Fehlermeldung emfpinde ich als trügerisch und sagen nicht wirklich etwas über das tatsächliche Problem aus.
Verwirrend das Ganze.

Hat Dein Zertifikat Subject Alternative Names (SAN) definiert?

Ja, ich habe das über eine externe config eingebunden:

basicConstraints = critical,CA:false
subjectAltName   = DNS:__pi_hostname__, IP:__pi_ip__

Die von mir genutzte Anleitung ist hier zu finden:

Raspberry Pi: Radicale als CalDAV-/CardDAV-Server einrichten und Kalender- & Kontaktdaten synchronisieren - coding.blatt

Anleitung zum Einrichten von Radicale, einem CalDAV-/CardDAV-Server, auf einem Raspberry Pi.

www.codingblatt.de

 

[Lufo]

Du hattest noch nicht geschrieben was für ein Android Gerät das konkret ist. Nicht dass es kein TLS 1.2 unterstützt oder auf dem Raspberry nur TLS 1.3 aktiviert ist oder sowas.

 

[horatio]

note 10 plus mit Android 12