iPad Mail 클라이언트-X.509 클라이언트 인증서가있는 IMAP?

11

X.509 클라이언트 인증서가있는 경우합니까 누구의 노하우 : 짧은 버전 가정 IMAP 메일의 아이 패드에 대한 작업에? 작동하지 않는 기능을 얻으려고 시간을 낭비하고 있습니까? 기본 제공 메일 앱이 X.509 클라이언트 인증서로 IMAP를 지원하지 않는 경우 (예 : Microsoft Exchange ActiveSync 계정에서만 작동) 타사 앱이 있습니까?

iOS 5.1 이상 만 관심 대상입니다. 5.1은 테스트 한 버전입니다.

정책에 따라 X.509 클라이언트 인증서를 사용하여 IMAP 메일 서버 (Cyrus IMAPd) 및 SMTP 서버 (접두사)를 포함한 모든 외부 통신을 보호하는 데 필요한 네트워크 관리자입니다. 클라이언트가 유효한 X.509 클라이언트 인증서를 제시하지 않으면 연결을 수락하지 않습니다. 클라이언트 인증서 요구 사항을 비활성화하는 것은 옵션이 아니며 비슷한 이유로 VPN을 통해 트래픽을 터널링 할 수 없습니다.

이제 네트워크에 연결하려는 iPad 사용자가 있으며 iPad가 약간 문제가되고 있습니다.

데스크톱 컴퓨터 사용자에게는 우수한 클라이언트 인증서 지원을 제공하는 견고한 IMAP이 있으므로 일반적으로 Thunderbird를 설치합니다. 그것은 "그냥 작동"하고 모든 플랫폼에서 지원하는 것과 동일합니다. 이것은 iPad 용 옵션이 아닙니다.

불행히도 iPad의 내장 Mail 앱은 IMAP의 클라이언트 인증서를 처리하지 못하는 것 같습니다. iPhone 구성 유틸리티를 사용하여 조직의 루트 인증서와 사용자의 클라이언트 인증서를 설치할 수 있습니다. 둘 다 설정-> 일반-> 프로필에서 "확인 됨"으로 표시됩니다. 그런 다음 iPad는 서버를 신뢰할 수있는 것으로 받아들이고 확인되지 않은 서버 ID에 대한 경고는 생략합니다.

서버가 핸드 셰이크를 종료하도록 요구 될 때 메일이 여전히 클라이언트 인증서를 보내지 못합니다. 사용자에게 하나를 선택하라는 메시지를 표시하지 않으며 서버에서 제공 한 CA 인증서와 일치하는 사용자를 위해 설치 한 클라이언트 인증서를 자동으로 보내지 않습니다.

클라이언트와 서버 간의 트래픽 흐름을 검사하면 서버에서 클라이언트 인증서를 요구할 때 iPad가 빈 클라이언트 인증서 세트로 응답하면 TLS 협상이 실패 함을 알 수 있습니다. 아래를 참조하십시오.

메일을 받기 위해 클라이언트 인증서가 필요하지 않은 암호화 된 WiFi를 통해 내부 네트워크에 연결되면 장치는 메일을 연결하고 다운로드 만하면됩니다. "SSL 사용"이 선택된 IMAP 포트 993 또는 "SSL 사용"이 선택된 IMAP + TLS 포트 143을 사용하는지 여부에 관계없이 외부 액세스 (공용 WiFi 또는 3G 이상)가 실패합니다. IMAP에 대한 클라이언트 인증서 협상 지원이 부족한 것 외에는 완벽합니다.

Apple의 "엔터프라이즈 지원"문서 에서 클라이언트 인증서 지원에 대한 참조 는 Microsoft Exchange ActiveSync에 대해 설명하고 Cisco VPN 지원에 대해 설명하는 경우에만 나타납니다.

Apple의 토론 포럼에는 몇 가지 질문이 있지만 최근 토론 및 유용한 답변은 없습니다. 링크를했지만 현재 Apple 포럼은 "유지 보수가 중단되었습니다".

이 문제를 해결하려면 iPad의 자동 VPN 연결 지원을 사용 하여 적절한 포트와 DNS의 IMAP 및 SMTP 서버와 DNS 통신 할 수있는 클라이언트 인증 인증 IPSec VPN 과 통신하기 위해 잠긴 VPN을 설정할 수 있습니다 . 그래도 영속해야하는 것은 꽤 끔찍한 해킹 일 것입니다.

BTW, 클라이언트 <-> 서버 대화는 다음과 같습니다.

  • C-> S TLSv1 클라이언트 안녕하세요
  • S-> C TLSv1 서버 안녕하세요
  • S-> C TLSv1 인증서, 인증서 요청, 서버 Hello 완료 (서버 인증서, 서명 루트 인증서, 승인 된 클라이언트 인증서 서명자의 DN이 서버 인증서에 서명 한 루트와 동일 함)를 보냅니다.
  • C-> S TLSv1 인증서 (빈 인증서 세트, 인증서 없음)
  • S-> C TLSv1 핸드 셰이크 실패

다시 말해, 서버는 "이 사람은 본인입니다. 본인은 본인임을 증명하기 위해 기관에서 서명 한 인증서를 제공 할 것으로 기대합니다"라고 말하고 고객은 "음,이 서류는이 빈 봉투 안에 있습니다. "

클라이언트에는 루트 인증서가 설치되어 있고 서버에서 요구 한 서명자 DN이있는 클라이언트 인증서가 설치되어 있습니다.

ipad  email  imap  ssl  certificate 
크레이그 링거
소스
에서는 이 가이드 SSL을 사용하는 경우 애플은 X.509 인증서를 지원 언급하고있다. 이 문서 자체는 표준 기반 서비스 (IMAP, CalDAV 등)에 대해서만 이야기하며 ActiveSync에 대한 언급은 없습니다. 이것이 가능해야한다는 것을 말해줍니다. 문제는 이것이 일반적인 설정이 아니며 회사 환경에서 IMAP을 사용하는 개인적인 경험이 없다는 것입니다.
bispymusic
나는 이것이 무료가 아니라는 것을 알고 있지만 Apple의 AppleCare OS 지원을 살펴볼 수도 있습니다 . 이 서비스의 최하위 계층조차도이 문제에 대한 해결책을 찾아야합니다. 개인적으로 더 많은 도움을 얻을 수 있었으면 좋겠다.
bispymusic
현상금에 감사드립니다. 나는 실제로 그 일을 떠났고 (12 년, 마음) 지금은 버그가 많은 클라이언트 인증서 지원에 대해 걱정하지 않아도됩니다. 이것은 분명히 다른 사람들에게 관심이 있으므로 비밀 레시피를 공개 할 수있는 iOS 전문가가 있기를 바랍니다. 저의 개인적인 강한 의혹은 X.509 클라이언트 인증서가 Exchange ActiveSync 이외의 다른 제품에서는 작동하지 않을 것입니다.
Craig Ringer
1
크레이그 당신이 답으로 알고있는 것을 쓰려고한다면, 그 의견조차도 묶는 것이 좋을 것입니다. 가장 좋은 점은 게시물이 오랫동안 여기에 있고 검색 가능하다는 것입니다. 의 대답은 "그것은 우리가 검색, 아무것도 우리가 이동 때문에 일하지, 고통이었다" 도움이되고 현상금 IMO 잘 가치가있을 것입니다.
bmike
@bmike,하지만 최신 iOS 기기로 테스트하지 않았으므로 누군가에게 맡길 것입니다.
Craig Ringer

답변:

1

이 질문은 iOS에서 지원하지 않는 IMAP 서비스 인증에 X.509를 사용하는 것과 관련이있는 것으로 보입니다. S / MIME 이메일 암호화 및 서명은 iOS에서 수행 할 수 있지만 메일 서비스 인증은 여전히 ​​SSL 또는 TLS를 통한 사용자 이름 / 암호를 사용합니다.

쑥 내민
소스
1
애플이 그런 기본 보안 기능을 지원하는 데 방해가되지 않는다는 것은 정말 놀랍습니다. 특히 SSL 라이브러리가 이미이를 지원하는 경우.
Craig Ringer
애플이 iOS에서 무시하고있는 또 다른 길은 GSSAPI를 지원하는 것입니다.
브라이언 토핑
1

asker가이 작업을 수행 한 적이 없다고보고 한 위의 주석을 참조하십시오.

따라서 iOS 5.1에서 X.509 인증서는 엔지니어링 노력없이 iOS에서 전자 메일을 보호하는 데 쉽게 사용되지 않으며 전혀 그렇지 않습니다.

bmike
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.