[iOS 6] S/MIME mit iOS mit OpenSSL (Keine gültigen Zertifikate gefunden)

[Michael`]

Hallo,


ich versuche mit meinen selbst erstellten X.509 Zertifikaten unter iOS Mails zu verschlüsseln.

Die Zertifikate wurden wie folgt erstellt:

openssl genrsa -des3 -out cert.key 4096
openssl req -new -key cert.key -out cert.csr
openssl x509 -req -days 3650 -in cert.csr -signkey cert.key -out cert.crt
openssl pkcs12 -export -in cert.crt -inkey cert.key -name "Vorname Nachname" -out cert.p12

- Anschließend habe ich mir die Datei cert.p12 selbst per Mail geschickt und das Zertifikat so auf dem iPhone installiert
- Danach in die Mail Einstellungen und S/MIME angeschaltet. Dann erscheinen die zwei Menüs "Signieren" und "Verschlüsseln", jedoch kann ich dort jeweils kein Zertifikat auswählen - dort steht nur "Keine gültigen Zertifikate gefunden".

Mit dem gleichen Zertifikat verschlüssle und signiere ich meine Mails aber in Thunderbird und Postbox. iOS kann die verschlüsselten Mails auch entschlüsseln, nur weder Mails selber signieren noch verschlüsseln.


Weiß jemand rat?


MfG,
Michael

 

[Michael`]

Update:

Ich habe in meiner OpenSSL (default-)config mal folgendes abgeändert:

- Im Feld extendedKeyUsage habe ich emailProtection hinzugefügt

Zustand vor der Änderung:

- iOS: Signieren: Nein; Verschlüsseln: Nein, Entschlüsseln: Ja
- Thunderbird: Signieren: Ja; Verschlüsseln: Ja, Entschlüsseln: Ja

Zustand nach der Änderung:

- iOS: Signieren: Ja; Verschlüsseln: Nein, Entschlüsseln: Ja
- Thunderbird: Signieren: Ja; Verschlüsseln: Nein, Entschlüsseln: Nein


Hat keiner eine Konfiguration für OpenSSL, um funktionierende X.509 Zertifikate für iOS zu erzeugen?


MfG,
Michael

 

[gKar]

Mit OpenSSL-Erfahrungen kann ich hier nicht dienen.
Ich hatte mir mal ein self-signed Zertifikat mit dem Zertifikatsassistenten der Schlüsselbundverwaltung erstellt (Schlüsselbundverwaltung starten und dann im Programm-Menü den Zertifikatsassistenten aufrufen), aber dann doch zu selten benutzt, weil die Signaturen ja von keinem Empfänger akzeptiert wurden, so lange er mir nicht erstmalig das Vertrauen ausgesprochen hat.

Ich habe sogar mit der Schlüsselbundverwaltung mal mein eigenes self-signed Root-Zertifikat erstellt und mit dem dann mehrere Client-Zertifikate ausgestellt, so mussten die anderen User, mit denen ich verschlüsselt kommunizieren wollte, wenigstens nur einmalig meiner CA das Vertrauen aussprechen.
Aber so richtig glücklich war ich damit nie. Wenn ich nochmal privat mit S/MIME arbeiten wollte und dazu nicht den dienstlichen Account nehmen will, dann würde ich wohl auf eine kostenlose oder -günstige CA ausweichen, deren Root-Zertifikat auch wirklich verbreitet ist und automatisch akzeptiert wird.

 

[Bananenbieger]

ich versuche mit meinen selbst erstellten X.509 Zertifikaten unter iOS Mails zu verschlüsseln.

Wie kommt man auf solch komische Ideen?

Comodo und StartSSL bieten kostenlose SSL-Zertifikate für den privaten Mailverkehr an, die ohne Probleme funktionieren und denen die meisten eMail-Clients vertrauen.

 

[Michael`]

Den Post über mir ignoriere ich einfach mal.

Ich habe die Lösung nun gefunden:

extendedKeyUsage=emailProtection, clientAuth, serverAuth, codeSigning
keyUsage = critical, digitalSignature, keyEncipherment, keyAgreement

und

subjectAltName=email:[email protected]


MfG,
Michael

 

[Bananenbieger]

Den Post über mir ignoriere ich einfach mal.

Genau, ignoriere den mal brav und mache genau das Gegenteil von dem, was man machen sollte.

"The question whether to use self-signed certificates has a simple answer: Don't"

 

[Schniko]

Wie kommt man auf solch komische Ideen?

Comodo und StartSSL bieten kostenlose SSL-Zertifikate für den privaten Mailverkehr an, die ohne Probleme funktionieren und denen die meisten eMail-Clients vertrauen.

Ein Zertifikat nicht selbst zu erstellen, sondern von jemandem erstellen zu lassen, ist eher das, was ich in Zeiten von Prism & Co als komische Idee bezeichnen würde...

Edit: Sorry, man kann auch eigen erstellte Zertifikate nutzen.. Das hatte ich nicht gesehen. Tut mir Leid!

 

[Bananenbieger]

Zertifikate enthalten keine privaten Keys - Die direkte Kommunikation zwischen zwei Stellen mittels x.509-Cert kann also schon mal nicht abgehört werden. Bleiben nur Man-in-the-Middle-Attacken - Aber genau dagegen soll ja die Ausstellung des Zertifikats durch trusted CAs helfen.