Versión corta: ¿alguien sabe si X. 509 certificados de cliente se supone que para trabajar en el iPad por correo IMAP? Estoy perdiendo mi tiempo tratando de obtener una función que no funciona para el trabajo? En la aplicación de correo no soporta IMAP con X. 509 cliente certs (es decir: que sólo funcionan con cuentas de Exchange ActiveSync), hay 3 ª parte aplicaciones que hacen?
Sólo iOS 5.1 o posterior de interés; 5.1 es la versión que yo he estado probando con.
Soy el administrador de una red que se requiere por la política del uso X. 509 certificados de cliente para proteger a todos de la comunicación externa, incluyendo nuestro servidor de correo IMAP (Cyrus IMAPd) y el servidor SMTP (postfix). Ni va a aceptar una conexión sin que el cliente presenta una válida X. 509 certificado de cliente. Desactivación del certificado de cliente requisito no es una opción para mí, y no hemos permitido que el tráfico de túnel en vía VPN, por razones similares.
Ahora tenemos los usuarios de iPad que desean conectarse a nuestra red, y se están encontrando con el iPad a ser un poco de un problema.
Para los usuarios de equipos de escritorio que nos suele instalar Thunderbird, como se ha roca sólida IMAP con excelente cliente certificado de apoyo; "simplemente funciona" y es el mismo para apoyo en cada plataforma. Esta no es una opción para el iPad.
Por desgracia, el iPad incorporada en la aplicación de Correo no parece lidiar con certificados de cliente para IMAP. Puedo instalar nuestra org root del cert y el cliente del usuario cert uso de la Utilidad de Configuración del iPhone. Ambos se muestran como "verificado" en Ajustes->General->Perfiles. El iPad, a continuación, acepta nuestro servidor como de confianza y omite todas las advertencias acerca de la identidad del servidor no se ha comprobado.
Correo todavía no se puede enviar un certificado de cliente cuando uno se exige para que el servidor termina el apretón de manos. No se pedirá al usuario que seleccione uno, ni lo hace automáticamente enviar el certificado de cliente instalado en el usuario que coincide con el certificado de la CA presentado por el servidor.
El examen de los flujos de tráfico entre el cliente y el servidor muestra que la negociación TLS falla cuando el iPad responde con un conjunto vacío de certificados de cliente cuando el cliente los certificados exigidos por el servidor. Ver a continuación.
Cuando se conecta a la red interna a través de cifrado WiFi, donde ningún cliente cert es necesaria para obtener el correo, el dispositivo se conecta y descarga correo bien. El acceso externo (público WiFi o por 3G) no, si yo uso el IMAPs puerto 993 con "Usar SSL" activada o IMAP+TLS puerto 143 con o sin "Usar SSL" marcada. Aparte de la evidente falta de certificado de cliente negociación de soporte para IMAP, es perfecta.
Las referencias a certificados de cliente apoyo en la documentación de Apple "de apoyo a las empresas" sólo aparecen donde Microsoft Exchange ActiveSync se discute, y en donde Cisco VPN de apoyo se discute.
Hay un par de preguntas sobre Apple foros de discusión, pero no de los más recientes y no hay respuestas útiles. Me gustaría link a las mismas, pero Apple foros de "cerrado por mantenimiento" en el momento.
Como solución puedo configurar una bloqueado VPN usando el iPad automática de la conexión VPN de apoyo para hablar con un cliente-cert authed IPSec VPN que puede sólo hablar con el IMAP y SMTP servidores en los puertos adecuados además de DNS, nada más. Sería una bastante horrible hack para tener a perpetrar aunque.
BTW, el cliente<->servidor de conversación es:
- C -> S TLSv1 Cliente Hola
- S -> C TLSv1 Server Hello
- S -> C TLSv1 Certificado, Solicitud De Certificado De Servidor, Hola Hace (Envía el servidor cert, la firma de root cert, DN aceptado cliente cert firmante, que pasa a ser de la misma root que firmó el servidor cert)
- C -> S TLSv1 Certificado (conjunto vacío de certificados, cero certs incluido)
- S -> C TLSv1 Apretón de manos fracaso
En otras palabras, el servidor dice "este soy yo, espero que te proporcione un certificado firmado por la autoridad para demostrar lo que eres", y el cliente responde con un "Eh, mis papeles están en esta carpeta vacía aquí. Mira, un casuario!"
El cliente tiene la root cert instalado, y tiene un cliente cert instalada que tiene el firmante DN demandado por el servidor.
