无法在工作资料上的 Android 11 上安装 CA 证书

Posted 2023-02-19

【中文标题】无法在工作资料上的 Android 11 上安装 CA 证书

【英文标题】：Can't install CA certificate on Android 11 on Work Profile

【发布时间】：2021-02-18 01:02:48

【问题描述】：

鉴于在设备上生成的自签名 CA 证书文件，我正试图找出一种将其安装在工作配置文件上的方法，因为使用 android.security.KeyChain.createInstallIntent() 安装 CA 证书的传统方法不再适用，在个人资料或工作资料。

我注意到在某些设备（例如，Pixel 设备）上，没有用于在工作配置文件上安装 CA 证书的系统设置 UI（仅适用于个人配置文件），而其他设备（例如，三星 Galaxy S10+ 和 Galaxy S8+ ) 确实提供了一个系统 UI 来在工作配置文件上安装 CA 证书。 但由于并非所有设备制造商都提供它，因此我不能依赖它。

根据Android Developers documentation of Android Enterprise changes in Android 11，只有 DPC 应用或由 DPC 应用委托的应用可以通过编程方式在工作配置文件中安装和吊销 CA 证书。

但并非所有 DPC 应用都支持此 API（存在于 Test DPC 但不存在于 Microsoft 的 Intune 公司门户中）。

我迷路了，有人知道一种永远有效的方法吗？

【参考方案1】：

已经有一段时间了，我取得了进步并观察了多个 MDM 平台。

大多数 MDM 客户端确实使用 this API 以编程方式安装证书，但它是从 MDM 管理平台而不是 MDM DPC 应用本身激活的。

因此，如果我的目标是安装在设备上生成的证书，则无法使用 MDM DPC 应用程序完成（至少不使用我遇到的 MDM 平台）。

但是，我仍然可以使用 MDM 管理平台安装证书，通常用于部署在多个设备上的根 CA 证书，而不是每个设备的证书。