Versión corta: ¿Alguien sabe si se supone que los certificados de cliente X.509 funcionan en el iPad para el correo IMAP? ¿Estoy perdiendo el tiempo tratando de obtener una función que no funciona para funcionar? Si la aplicación de correo integrada no admite IMAP con certificados de cliente X.509 (es decir, solo funcionan con cuentas de Microsoft Exchange ActiveSync), ¿existen aplicaciones de terceros que lo hagan?
Sólo es interesante iOS 5.1 o posterior; 5.1 es la versión con la que he estado probando.
Soy el administrador de una red que está obligada por la política a utilizar los certificados de cliente X.509 para proteger todas las comunicaciones externas, incluido nuestro servidor de correo IMAP (Cyrus IMAPd) y el servidor SMTP (postfix). Tampoco aceptará una conexión sin que el cliente presente un certificado de cliente X.509 válido. La desactivación del requisito de certificado de cliente no es una opción para mí, y no estamos autorizados a canalizar el tráfico a través de VPN por razones similares.
Ahora tenemos usuarios de iPad que desean conectarse a nuestra red y encuentran que el iPad es un problema.
Para los usuarios en máquinas de escritorio, generalmente instalamos Thunderbird, ya que tiene un IMAP sólido con un excelente soporte de certificados de clientes; "simplemente funciona" y es el mismo soporte en todas las plataformas. Esta no es una opción para iPad.
Lamentablemente, la aplicación de correo integrada del iPad no parece manejar los certificados de cliente para IMAP. Puedo instalar el certificado raíz de nuestra organización y el certificado de cliente del usuario utilizando la Utilidad de configuración del iPhone. Ambos se muestran como "verificados" en Configuración- > General- > Perfiles. El iPad luego acepta nuestro servidor como de confianza y omite todas las advertencias sobre la identidad del servidor que no se está verificando.
El correo todavía no puede enviar un certificado de cliente cuando se solicita uno, por lo que el servidor termina el protocolo de enlace. No solicita al usuario que seleccione uno, ni envía automáticamente el certificado de cliente que ha instalado para el usuario que coincide con el certificado de CA presentado por el servidor.
El examen del flujo de tráfico entre el cliente y el servidor muestra que la negociación de TLS falla cuando el iPad responde con un conjunto vacío de certificados de cliente cuando el servidor exige certificados de cliente. Vea abajo.
Cuando se conecta a la red interna a través de WiFi encriptada, donde no se requiere certificado de cliente para recibir correo, el dispositivo se conecta y descarga el correo perfectamente. El acceso externo (WiFi público o sobre 3G) falla, ya sea que use el puerto 993 de IMAP con "Usar SSL" marcado o el puerto 143 de IMAP + TLS con o sin "Usar SSL" marcado. Aparte de la aparente falta de soporte de negociación de certificados de cliente para IMAP, es perfecto.
Las referencias al soporte de certificados del cliente en la documentación para el "Soporte empresarial de Apple" solo aparecen donde Microsoft Exchange ActiveSync se analiza y se analiza la compatibilidad con Cisco VPN.
Hay algunas preguntas en los foros de discusión de Apple, pero no hay preguntas recientes ni respuestas útiles. Me enlazaría con ellos, pero los foros de Apple están "fuera de servicio" en este momento.
Como solución temporal, es probable que pueda configurar una VPN bloqueada utilizando el soporte de conexión VPN automática del iPad para hablar con una VPN IPSec certificada por el cliente que puede solo hablar con los servidores IMAP y SMTP en Los puertos apropiados más DNS, nada más. Sin embargo, sería un truco bastante espantoso tener que perpetrar.
Por cierto, el cliente < - > conversación del servidor es:
- C - > S TLSv1 Cliente Hola
- S - > C TLSv1 Server Hello
- S - > C TLSv1 Certificado, Solicitud de certificado, Servidor Hello Done (Envía certificado de servidor, firmando certificado de raíz, DN del firmante de certificado de cliente aceptado que coincide con la raíz que firmó el certificado de servidor)
- C - > Certificado S TLSv1 (conjunto vacío de certificados, cero certificados incluidos)
- S - > C TLSv1 Handshake failure
En otras palabras, el servidor dice "este soy yo, espero que proporcione un certificado firmado por la autoridad para probar quién es usted" y el cliente responde con "Um, mis documentos están en este sobre vacío aquí. Mire, un casuario! "
El cliente tiene instalado el certificado raíz y tiene instalado un certificado de cliente que tiene el DN del firmante solicitado por el servidor.