Cliente iPad Mail: ¿IMAP con certificates de cliente X.509?

Versión corta: ¿Alguien sabe si se supone que los certificates de cliente X.509 funcionan en el iPad para el correo IMAP? ¿Estoy perdiendo el time tratando de get una function que no funciona? Si la aplicación de correo integrada no es compatible con IMAP con certificates de cliente X.509 (es decir, solo funcionan con counts de Microsoft Exchange ActiveSync), ¿hay alguna aplicación de terceros que sí lo haga?

Solo iOS 5.1 o posterior es de interés; 5.1 es la versión con la que he estado probando.


Soy el administrador de una networking que requiere una política para usar certificates de cliente X.509 para proteger todas las comunicaciones externas, incluido nuestro server de correo IMAP (Cyrus IMAPd) y el server SMTP (postfix). Ninguno aceptará una connection sin que el cliente presente un certificate de cliente X.509 válido. Desactivar el requisito de certificate del cliente no es una opción para mí, y no tenemos permiso para hacer túneles de tráfico a través de VPN por razones similares.

Ahora tenemos usuarios de iPad que desean conectarse a nuestra networking y encuentran que el iPad es un problema.

Para los usuarios de máquinas de escritorio, generalmente instalamos Thunderbird, ya que tiene IMAP sólido como una roca con excelente soporte de certificate de cliente; "simplemente funciona" y es lo mismo para admitir en todas las plataforms. Esta no es una opción para iPad.

Desafortunadamente, la aplicación de correo integrada del iPad no parece lidiar con los certificates del cliente para IMAP. Puedo instalar el certificate de raíz de mi organización y el certificate de cliente del usuario usando la herramienta de configuration de iPhone. Ambos se muestran como "verificados" en Configuración-> General-> Perfiles. El iPad acepta nuestro server como confiable y omite las advertencias sobre la identidad del server que no se verifica.

El correo aún no envía un certificate de cliente cuando se solicita uno para que el server finalice el intercambio de información. No solicita al usuario que select uno, ni envía automáticamente el certificate de cliente que ha instalado para el usuario que coincide con el certificate de CA presentado por el server.

El examen del flujo de tráfico entre el cliente y el server muestra que la negociación de TLS falla cuando el iPad responde con un set vacío de certificates de cliente cuando el server exige certificates del cliente. Vea abajo.

Cuando se conecta a la networking interna a través de WiFi encriptado, donde no se requiere un certificate del cliente para recibir el correo, el dispositivo se conecta y descarga el correo correctamente. El acceso externo (wifi público o más de 3G) falla, si uso el puerto IMAPs 993 con "Usar SSL" marcado o el puerto IMAP + TLS 143 con o sin "Usar SSL" marcado. Aparte de la aparente falta de soporte de negociación de certificates de cliente para IMAP, es perfecto.

Las references al soporte de certificates del cliente en la documentation para el "Soporte empresarial" de Apple solo aparecen cuando se habla de Microsoft Exchange ActiveSync y donde se trata el soporte de VPN de Cisco.

Hay algunas preguntas en los foros de discusión de Apple, pero no hay respuestas recientes ni útiles. Me gustaría vincularlos, pero los foros de Apple están "fuera de service" en este momento.

Como solución, probablemente pueda configurar una VPN bloqueada utilizando el soporte de connection VPN automático del iPad para hablar con una VPN IPSec con authentication de cliente que solo puede hablar con los serveres IMAP y SMTP en los puertos apropiados más DNS, nada más. Sin embargo, sería un hack bastante espantoso tener que perpetrar.


Por cierto, la conversación del cliente <-> server es:

  • C -> S TLSv1 Client Hello
  • S -> C Servidor TLSv1 Hola
  • S -> C Certificado TLSv1, Solicitud de certificate, Hola al server hecho (Envía certificate de server, firma de certificate de raíz, DN del firmante de certificate de cliente aceptado que resulta ser el mismo que el que firmó el certificate de server)
  • Certificado C -> S TLSv1 (set vacío de certificates, certificates cero incluidos)
  • S -> C TLSv1 Error de apretón de manos

En otras palabras, el server dice "este soy yo, espero que proporciones un certificate firmado por la autoridad para demostrar quién eres" y el cliente responde con "Um, mis papeles están en este sobre vacío aquí. ¡Mira, un casuario! "

El cliente tiene el certificate raíz instalado y tiene un certificate de cliente instalado que tiene el DN del firmante exigido por el server.

  • Errores de Safari SSL
  • Restablecer las excepciones SSL de Safari en iOS 11
  • ¿Cómo obtengo com.apple.servermgrd para usar un certificate SSL no autofirmado?
  • Actualización de certificaciones de raíz SSL en Mac viejo (ejecutando Lion)
  • ¿El cliente WebDAV incorporado puede conectarse a través de HTTPS con el certificate del cliente?
  • No puede abrir ssl url en el nuevo ipad
  • STARTTLS falla el apretón de manos contra el server smtp de Apple
  • Cómo hacer una installation limpia de OpenSSL en El Capitan
  • 2 Solutions collect form web for “Cliente iPad Mail: ¿IMAP con certificates de cliente X.509?”

    La pregunta parece ser específica del uso de X.509 para la authentication a un service IMAP, que no es compatible con iOS. Las firmas y el encryption de correo electrónico S / MIME se pueden realizar en iOS, pero la authentication de los services de correo aún usará el nombre de usuario / contraseña a través de SSL o TLS.

    Vea los comentarios anteriores donde el solicitante informa que nunca lograron que esto funcione.

    Por lo tanto, en iOS 5.1, los certificates X.509 no serán fáciles de usar para proteger el correo electrónico en iOS sin algún esfuerzo de ingeniería y tal vez nada.

    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).