카테고리 보관물: Apple

Apple

iPad Mail 클라이언트-X.509 클라이언트 인증서가있는 IMAP? ID에 대한 경고는 생략합니다. 서버가 핸드 셰이크를 종료하도록

X.509 클라이언트 인증서가있는 경우합니까 누구의 노하우 : 짧은 버전 가정 IMAP 메일의 아이 패드에 대한 작업에? 작동하지 않는 기능을 얻으려고 시간을 낭비하고 있습니까? 기본 제공 메일 앱이 X.509 클라이언트 인증서로 IMAP를 지원하지 않는 경우 (예 : Microsoft Exchange ActiveSync 계정에서만 작동) 타사 앱이 있습니까?

iOS 5.1 이상 만 관심 대상입니다. 5.1은 테스트 한 버전입니다.


정책에 따라 X.509 클라이언트 인증서를 사용하여 IMAP 메일 서버 (Cyrus IMAPd) 및 SMTP 서버 (접두사)를 포함한 모든 외부 통신을 보호하는 데 필요한 네트워크 관리자입니다. 클라이언트가 유효한 X.509 클라이언트 인증서를 제시하지 않으면 연결을 수락하지 않습니다. 클라이언트 인증서 요구 사항을 비활성화하는 것은 옵션이 아니며 비슷한 이유로 VPN을 통해 트래픽을 터널링 할 수 없습니다.

이제 네트워크에 연결하려는 iPad 사용자가 있으며 iPad가 약간 문제가되고 있습니다.

데스크톱 컴퓨터 사용자에게는 우수한 클라이언트 인증서 지원을 제공하는 견고한 IMAP이 있으므로 일반적으로 Thunderbird를 설치합니다. 그것은 “그냥 작동”하고 모든 플랫폼에서 지원하는 것과 동일합니다. 이것은 iPad 용 옵션이 아닙니다.

불행히도 iPad의 내장 Mail 앱은 IMAP의 클라이언트 인증서를 처리하지 못하는 것 같습니다. iPhone 구성 유틸리티를 사용하여 조직의 루트 인증서와 사용자의 클라이언트 인증서를 설치할 수 있습니다. 둘 다 설정-> 일반-> 프로필에서 “확인 됨”으로 표시됩니다. 그런 다음 iPad는 서버를 신뢰할 수있는 것으로 받아들이고 확인되지 않은 서버 ID에 대한 경고는 생략합니다.

서버가 핸드 셰이크를 종료하도록 요구 될 때 메일이 여전히 클라이언트 인증서를 보내지 못합니다. 사용자에게 하나를 선택하라는 메시지를 표시하지 않으며 서버에서 제공 한 CA 인증서와 일치하는 사용자를 위해 설치 한 클라이언트 인증서를 자동으로 보내지 않습니다.

클라이언트와 서버 간의 트래픽 흐름을 검사하면 서버에서 클라이언트 인증서를 요구할 때 iPad가 빈 클라이언트 인증서 세트로 응답하면 TLS 협상이 실패 함을 알 수 있습니다. 아래를 참조하십시오.

메일을 받기 위해 클라이언트 인증서가 필요하지 않은 암호화 된 WiFi를 통해 내부 네트워크에 연결되면 장치는 메일을 연결하고 다운로드 만하면됩니다. “SSL 사용”이 선택된 IMAP 포트 993 또는 “SSL 사용”이 선택된 IMAP + TLS 포트 143을 사용하는지 여부에 관계없이 외부 액세스 (공용 WiFi 또는 3G 이상)가 실패합니다. IMAP에 대한 클라이언트 인증서 협상 지원이 부족한 것 외에는 완벽합니다.

Apple의 “엔터프라이즈 지원”문서 에서 클라이언트 인증서 지원에 대한 참조 는 Microsoft Exchange ActiveSync에 대해 설명하고 Cisco VPN 지원에 대해 설명하는 경우에만 나타납니다.

Apple의 토론 포럼에는 몇 가지 질문이 있지만 최근 토론 및 유용한 답변은 없습니다. 링크를했지만 현재 Apple 포럼은 “유지 보수가 중단되었습니다”.

이 문제를 해결하려면 iPad의 자동 VPN 연결 지원을 사용 하여 적절한 포트와 DNS의 IMAP 및 SMTP 서버와 DNS 통신 할 수있는 클라이언트 인증 인증 IPSec VPN 과 통신하기 위해 잠긴 VPN을 설정할 수 있습니다 . 그래도 영속해야하는 것은 꽤 끔찍한 해킹 일 것입니다.


BTW, 클라이언트 <-> 서버 대화는 다음과 같습니다.

  • C-> S TLSv1 클라이언트 안녕하세요
  • S-> C TLSv1 서버 안녕하세요
  • S-> C TLSv1 인증서, 인증서 요청, 서버 Hello 완료 (서버 인증서, 서명 루트 인증서, 승인 된 클라이언트 인증서 서명자의 DN이 서버 인증서에 서명 한 루트와 동일 함)를 보냅니다.
  • C-> S TLSv1 인증서 (빈 인증서 세트, 인증서 없음)
  • S-> C TLSv1 핸드 셰이크 실패

다시 말해, 서버는 “이 사람은 본인입니다. 본인은 본인임을 증명하기 위해 기관에서 서명 한 인증서를 제공 할 것으로 기대합니다”라고 말하고 고객은 “음,이 서류는이 빈 봉투 안에 있습니다. “

클라이언트에는 루트 인증서가 설치되어 있고 서버에서 요구 한 서명자 DN이있는 클라이언트 인증서가 설치되어 있습니다.



답변

이 질문은 iOS에서 지원하지 않는 IMAP 서비스 인증에 X.509를 사용하는 것과 관련이있는 것으로 보입니다. S / MIME 이메일 암호화 및 서명은 iOS에서 수행 할 수 있지만 메일 서비스 인증은 여전히 ​​SSL 또는 TLS를 통한 사용자 이름 / 암호를 사용합니다.


답변

asker가이 작업을 수행 한 적이 없다고보고 한 위의 주석을 참조하십시오.

따라서 iOS 5.1에서 X.509 인증서는 엔지니어링 노력없이 iOS에서 전자 메일을 보호하는 데 쉽게 사용되지 않으며 전혀 그렇지 않습니다.


답변