Phiên bản ngắn: Có ai biết nếu chứng chỉ client X.509 được cho là để làm việc trên iPad cho thư IMAP? Tôi có đang lãng phí thời gian để cố gắng để một tính năng không hoạt động không? Nếu ứng dụng thư tích hợp không hỗ trợ IMAP với các máy khách X.509 (nghĩa là: chúng chỉ hoạt động với tài khoản Microsoft Exchange ActiveSync), có ứng dụng bên thứ 3 nào không?
Chỉ có iOS 5.1 trở lên mới được quan tâm; 5.1 là phiên bản tôi đã thử nghiệm.
Tôi là quản trị viên của một mạng được chính sách yêu cầu sử dụng chứng chỉ ứng dụng khách X.509 để bảo vệ tất cả các giao tiếp bên ngoài, bao gồm máy chủ thư IMAP (Cyrus IMAPd) và máy chủ SMTP (hậu tố). Không chấp nhận kết nối mà không có máy khách xuất trình chứng chỉ ứng dụng khách X.509 hợp lệ. Vô hiệu hóa yêu cầu chứng chỉ ứng dụng khách không phải là một tùy chọn đối với tôi và chúng tôi không được phép lưu lượng truy cập qua VPN vì những lý do tương tự.
Hiện tại chúng tôi có những người dùng iPad muốn kết nối với mạng của chúng tôi và việc tìm kiếm iPad là một vấn đề.
Đối với người dùng trên máy tính để bàn, chúng tôi thường cài đặt Thunderbird, vì nó có IMAP rắn với hỗ trợ chứng chỉ ứng dụng khách tuyệt vời; nó "chỉ hoạt động" và giống nhau để hỗ trợ trên mọi nền tảng. Đây không phải là một lựa chọn cho iPad.
Thật không may, ứng dụng Mail tích hợp của iPad dường như không đối phó với chứng chỉ ứng dụng khách cho IMAP. Tôi có thể cài đặt chứng chỉ gốc của org và chứng chỉ ứng dụng khách của người dùng bằng Tiện ích cấu hình iPhone. Cả hai đều được hiển thị là "đã xác minh" trong Cài đặt-> Chung-> Cấu hình. IPad sau đó chấp nhận máy chủ của chúng tôi là đáng tin cậy và bỏ qua mọi cảnh báo về danh tính của máy chủ không được xác minh.
Mail vẫn không gửi được chứng chỉ ứng dụng khách khi có yêu cầu để máy chủ chấm dứt bắt tay. Nó không nhắc người dùng chọn một, cũng không tự động gửi chứng chỉ ứng dụng khách đã cài đặt cho người dùng khớp với chứng chỉ CA do máy chủ xuất trình.
Kiểm tra luồng lưu lượng giữa máy khách và máy chủ cho thấy việc đàm phán TLS không thành công khi iPad phản hồi với một bộ chứng chỉ ứng dụng khách trống khi máy chủ yêu cầu chứng chỉ máy khách. Xem bên dưới.
Khi được kết nối với mạng nội bộ qua WiFi được mã hóa, trong đó không yêu cầu chứng nhận ứng dụng khách để nhận thư, thiết bị sẽ kết nối và tải xuống thư tốt. Truy cập bên ngoài (WiFi công cộng hoặc qua 3G) không thành công, cho dù tôi sử dụng cổng IMAP 993 với kiểm tra "Sử dụng SSL" hoặc cổng IMAP + TLS 143 có hoặc không có "Sử dụng SSL" đã chọn. Khác với việc thiếu hỗ trợ đàm phán chứng chỉ ứng dụng khách cho IMAP, rõ ràng là hoàn hảo.
Các tham chiếu đến hỗ trợ chứng chỉ ứng dụng khách trong tài liệu về "Hỗ trợ doanh nghiệp" của Apple chỉ xuất hiện ở nơi Microsoft Exchange ActiveSync được thảo luận và nơi thảo luận về hỗ trợ VPN của Cisco.
Có một vài câu hỏi trên các diễn đàn thảo luận của Apple, nhưng không có câu hỏi nào gần đây và không có câu trả lời hữu ích. Tôi muốn liên kết với họ, nhưng các diễn đàn của Apple hiện đang "ngừng bảo trì".
Như một giải pháp thay thế, tôi có thể có thể thiết lập VPN bị khóa bằng cách sử dụng hỗ trợ kết nối VPN tự động của iPad để nói chuyện với VPN IPSec được chứng thực của khách hàng, chỉ có thể nói chuyện với máy chủ IMAP và SMTP trên các cổng thích hợp cộng với DNS, không có gì khác. Nó sẽ là một hack khá khủng khiếp để phải tồn tại mặc dù.
BTW, cuộc trò chuyện máy khách <-> là:
- C -> S Khách hàng TLSv1 Xin chào
- S -> C Máy chủ TLSv1 Xin chào
- S -> C Chứng chỉ TLSv1, Yêu cầu chứng chỉ, Máy chủ Xin chào (Gửi chứng chỉ máy chủ, ký chứng chỉ gốc, DN của người ký chứng nhận ứng dụng khách được chấp nhận giống như gốc đã ký chứng chỉ máy chủ)
- Chứng chỉ C -> S TLSv1 (bộ chứng chỉ trống, không có certs)
- S -> C TLSv1 Lỗi bắt tay
Nói cách khác, máy chủ nói "đây là tôi, tôi mong bạn cung cấp chứng chỉ được ký bởi cơ quan có thẩm quyền để chứng minh bạn là ai" và khách hàng trả lời với "Ừm, giấy tờ của tôi nằm trong phong bì trống rỗng này. "
Máy khách đã cài đặt chứng chỉ gốc và đã cài đặt chứng chỉ ứng dụng khách có trình ký tên DN yêu cầu bởi máy chủ.