Versione breve: qualcuno sa se i certificati client X.509 supposti funzionino su iPad per la posta IMAP? Sto sprecando il mio tempo cercando di ottenere una funzionalità che non funziona per funzionare? Se l'app di posta elettronica incorporata non supporta IMAP con certificati client X.509 (vale a dire: funzionano solo con gli account Microsoft Exchange ActiveSync), ci sono app di terze parti che fanno?
Solo iOS 5.1 o successivi è di interesse; 5.1 è la versione con cui sto testando.
Sono l'amministratore di una rete richiesta dai criteri per utilizzare i certificati client X.509 per proteggere tutte le comunicazioni esterne, inclusi il nostro server di posta IMAP (Cyrus IMAPd) e il server SMTP (postfix). Nessuno dei due accetterà una connessione senza che il client presenti un certificato client X.509 valido. Disabilitare il requisito del certificato client non è un'opzione per me, e non siamo autorizzati a tunnelare il traffico in via VPN per ragioni simili.
Ora abbiamo utenti iPad che vogliono connettersi alla nostra rete e stanno trovando l'iPad come un problema.
Per gli utenti su macchine desktop di solito installiamo Thunderbird, poiché ha un IMAP solido con un eccellente supporto per i certificati client; "funziona" ed è lo stesso per supportare su ogni piattaforma. Questa non è un'opzione per iPad.
Sfortunatamente l'app Mail incorporata nell'iPad non sembra gestire i certificati client per IMAP. Posso installare il certificato radice dell'organizzazione e il certificato cliente dell'utente utilizzando l'utilità di configurazione iPhone. Entrambi sono indicati come "verificati" nei profili Impostazioni- > Generale- e gt ;. L'iPad accetta quindi il nostro server come attendibile e omette qualsiasi avviso relativo all'identità del server non verificata.
La posta non riesce ancora a inviare un certificato client quando ne viene richiesto uno, così il server termina l'handshake. Non richiede all'utente di selezionarne uno, né invia automaticamente il certificato client che ha installato per l'utente che corrisponde al certificato CA presentato dal server.
L'esame del flusso di traffico tra client e server mostra che la negoziazione TLS ha esito negativo quando l'iPad risponde con un set vuoto di certificati client quando i certificati client sono richiesti dal server. Vedi sotto.
Se connesso alla rete interna tramite Wi-Fi crittografato, in cui non è necessario alcun certificato cliente per ricevere la posta, il dispositivo si connette e scarica la posta correttamente. L'accesso esterno (WiFi pubblico o 3G) non funziona, sia che utilizzi la porta IMAP 993 con "Usa SSL" selezionata o la porta IMAP + TLS 143 con o senza "Usa SSL" selezionata. Oltre all'apparente mancanza di supporto alla negoziazione dei certificati client per IMAP, è perfetto.
I riferimenti al supporto del certificato client in la documentazione per il "Supporto Enterprise" di Apple vengono visualizzati solo dove Viene discusso Microsoft Exchange ActiveSync e viene discusso il supporto Cisco VPN.
Ci sono alcune domande sui forum di discussione di Apple, ma non recenti e nessuna risposta utile. Mi collegherei a loro, ma i forum di Apple sono "inattivi per manutenzione" al momento.
Come soluzione temporanea, posso probabilmente configurare una VPN bloccata usando il supporto della connessione VPN automatica dell'iPad per parlare con un VPN IPSec autenticato dal client che può solo parlare con i server IMAP e SMTP su le porte appropriate più DNS, nient'altro. Sarebbe un trucco piuttosto macabro da perpetrare però.
BTW, la conversazione del server < - > è:
- C - > S Client TLSv1 Hello
- S - > C Server TLSv1 Ciao
- S - > C Certificato TLSv1, Richiesta certificato, Server pronto (Invia certificato server, firma certificato radice, DN del firmatario del certificato client accettato, che è uguale alla radice che ha firmato il certificato del server)
- C - > S Certificato TLSv1 (serie vuota di certificati, zero certificati inclusi)
- S - > C Errore TLSv1 Handshake
In altre parole, il server dice "questo sono io, mi aspetto che tu fornisca un certificato firmato dall'autorità per dimostrare chi sei" e il cliente risponde con "Um, i miei documenti sono in questa busta vuota qui. un casuario! "
Il client ha installato il certificato radice e ha installato un certificato client con il DN firmatario richiesto dal server.