iPad Mail客户端-具有X.509客户端证书的IMAP?


11

简短版:有人知道X.509客户端证书是否应该在iPad上可以处理IMAP邮件吗?我是在浪费时间尝试获得无法正常使用的功能吗?如果内置的邮件应用程序不支持带有X.509客户端证书的IMAP(即:它们仅与Microsoft Exchange ActiveSync帐户一起使用),那么是否有任何第三方应用程序可以使用?

仅关注iOS 5.1或更高版本;5.1是我一直在测试的版本。


我是政策所要求的网络的管理员,该网络必须使用X.509客户端证书来保护所有外部通信,包括我们的IMAP邮件服务器(Cyrus IMAPd)和SMTP服务器(后缀)。在客户端不提供有效的X.509客户端证书的情况下,任何一个都不接受连接。禁用客户端证书要求不是我的选择,出于类似原因,我们也不允许我们通过VPN传输流量。

现在,我们有想要连接到我们的网络的iPad用户,并且发现iPad有点问题。

对于台式机用户,我们通常会安装Thunderbird,因为它具有坚固的IMAP和出色的客户端证书支持。它“工作正常”,并且在每个平台上均受支持。这不是iPad的选项。

不幸的是,iPad的内置Mail应用程序似乎无法处理IMAP的客户端证书。我可以使用iPhone配置实用程序安装组织的根证书和用户的客户端证书。两者在“设置”->“常规”->“配置文件”中均显示为“已验证”。然后,iPad将我们的服务器视为受信任的服务器,并忽略有关未验证服务器身份的任何警告。

要求时,邮件仍然无法发送客户端证书,因此服务器将终止握手。它不会提示用户选择一个,也不会自动为与服务器提供的CA证书匹配的用户发送已安装的客户端证书。

对客户端和服务器之间的流量进行的检查表明,当服务器要求客户端证书时,iPad用一组空的客户端证书进行响应时,TLS协商失败。见下文。

通过加密的WiFi连接到内部网络时,不需要客户端证书即可接收邮件,该设备可以正常连接和下载邮件。不管我使用IMAPs端口993(选中“使用SSL”)还是IMAP + TLS端口143(选中或不选中“使用SSL”),外部访问(公共WiFi或3G以上)均失败。除了明显缺乏对IMAP的客户端证书协商支持之外,它还是完美的。

Apple的“企业支持”文档中对客户端证书支持的引用仅在讨论Microsoft Exchange ActiveSync和讨论Cisco VPN支持的地方出现。

在Apple的讨论论坛上有几个问题,但没有最近的问题,也没有有用的答案。我会链接到他们,但是苹果的论坛目前“处于维护状态”。

作为一种解决方法,我可能可以使用iPad的自动VPN连接支持来设置锁定的VPN,以与客户端认证的IPSec VPN进行通信,该IPSec VPN 可以与相应端口上的IMAP和SMTP服务器以及DNS进行通信,除此之外没有其他通信。不过,这确实是一个非常可怕的骇客。


顺便说一句,客户端<->服务器对话是:

  • C-> S TLSv1客户端您好
  • S-> C TLSv1服务器您好
  • S-> C TLSv1证书,证书请求,服务器已完成(发送服务器证书,签名根证书,接受的客户端证书签名者的DN与碰巧签署服务器证书的根相同)
  • C-> S TLSv1证书(空证书集,包括零个证书)
  • S-> C TLSv1握手失败

换句话说,服务器说“这就是我,我希望您提供由权威机构签署的证明您是谁的证书”,而客户答复说:“嗯,我的论文都放在这个空信封里。 ”

客户端安装了根证书,并且安装了具有服务器要求的签名者DN的客户端证书。


本指南中, Apple提到在启用SSL时支持x.509证书。该文档本身仅讨论基于标准的服务(IMAP,CalDAV等),在任何地方都没有提及ActiveSync。这告诉我这应该是可能的。我认为麻烦在于这不是典型的设置,而且我在公司环境(我们是Exchange商店)中使用IMAP并没有亲身经历。
bispymusic

我知道这不是免费的,但是您也可以考虑使用Apple的AppleCare OS支持。甚至该服务的最低层也应涵盖解决此问题的方法。希望我本人能提供更多帮助。
bispymusic

感谢您的悬赏。我实际上已经离开了这份工作(大约有12年的时间),现在,我很高兴地摆脱了对……多虫的客户端证书支持的关心……好吧,一切,真的。显然其他人对此很感兴趣,所以我希望这里有一个iOS专家可以揭示秘诀。我个人强烈怀疑X.509客户端证书可能不适用于Exchange ActiveSync之外的任何其他产品。
Craig Ringer

1
克雷格 如果您愿意写下自己想知道的所有答案,那么即使是那些评论也可以帮助解决问题。很棒的是,帖子可以在这里放置很长时间,并且仍然可以搜索。回答“这很痛苦,我们进行了搜索,但没有任何效果,所以我们继续前进”将是有益的,并且值得IMO给予赏金。
bmike

@bmike我会的,但是因为我还没有使用最新的iOS设备进行测试,所以我将其留给有经验的人使用。
Craig Ringer 2013年

Answers:


1

这个问题似乎特定于使用X.509对IMAP服务进行身份验证,iOS不支持此功能。可以在iOS上执行S / MIME电子邮件加密和签名,但是对邮件服务的身份验证仍将使用基于SSL或TLS的用户名/密码。


1
Apple不会为支持这样的基本安全功能而烦恼,这真是令人惊讶。特别是当他们的SSL库已经支持它时。
Craig Ringer 2014年

苹果在iOS上忽略的另一条路径是支持GSSAPI。
布莱恩摘顶

1

请参阅上面的评论,询问者报告他们从未使它起作用。

因此,在iOS 5.1上,如果不付出一些工程上的努力,甚至根本没有采取任何措施,X.509证书就不会轻易用于保护iOS上的电子邮件。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.