[iOS 5] iPhone und SMIME

[Markmaus]

Hallo zusammen,

kann mir jemand dabei behilflich sein meinen Emailaccount auf meinem iPhone zum Zusammenspiel mit SMIME zu bewegen?

Grundsätzlich weiß ich wie es geht und wenn ich den Emailaccount samt Zertifikaten und Einstellungen über das iPhone-Konfigurationsprogram auf mein iPhone übertrage funktioniert das verschlüsseln und signieren auch wie erwartet. Leider läßt sich die SMIME Nutzung in diesem Fall aber am iPhone nicht wieder abschalten. Das bedeutet alle meine Mails beinhalten mein Signaturzertifikat und wenn mir jemand eine signierte Email schickt und ich darauf antworte, wird meine Mail automatisch verschlüsselt.

Wenn ich jetzt nur mein Zertifikat über das Konfigurationsprogramm auf das iPhone übertrage und keine Emaileinstellungen darüber vornehme, wird mir dieses auch unter "Profile" korrekt angezeigt. Bei dem zu der Emailadresse im Zertifikat gehörigen Emailaccount auf meinem iPhone kann ich SMIME nun auch aktivieren und deaktivieren. Wenn Ich aber "signieren" oder "verschlüsseln" dort einschalten will um das Zertifikat dort auszuwählen, wird hier leider kein Zertifikat angeboten. Es erscheint lediglich die Anzeige "keine gültigen Zertifikate gefunden" Ich hatte angenommen, daß hier eine Zuordnung einfach über die Emailadresse im Zertifikat erfolgt. Das scheint aber nicht so zu sein. Was muss ich tun um mein Zertifikat hier auswählen zu können und trotzdem in der Lage zu sein SMIME bei Bedarf wieder zu deaktivieren?

Es gibt noch eine dritte Möglichkeit welche ich auch ausprobiert hatte. Mann schickt sich sein eigenes Zertifikat als .p12-Datei selbst per Email zu und installiert es auf diesem Wege. Wenn ich diesen Weg gehe wird mir das Zertifikat unter "Profile" als "nicht vertrauenswürdig" angezeigt. Auswählen läßt es sich beim Emailaccount leider auch nicht.

We kann mir helfen und sagen wie es richtig geht?

Gruß

Mark

 

[Markmaus]

Ich bin selbst ein Wenig weitergekommen. Ich habe herausgefunden, dass es etwas mit den von mir verwendeten CAcert-Zertifikaten zu tun haben muss. Mit einem anderen, von einem Windows 2003 Server erstellten Zertifikat funktioniert alles wie gewünscht.

Zwar funktionieren die CACert-Zertificate auch auf dem iPhone zur Identitätsüberprüfung im Browser (So kann ich z.B. ein Zertifikatslogin auf der CACert-Seite durchführen), aber für die SMIME-Verschlüsselung werden sie irgendwie nicht erkannt. Es sei denn man setzt den kompletten Emailaccount auch über das iPhone Konfigurationsprogramm auf, wählt Signatur- und Verschlüsselungszertifikat an dieser Stelle bereits aus und installiert das so erstellte Profil auf dem iPhone.

Mit einem direkt auf dem iPhone erstellten Emailaccount habe ich es nicht geschschafft die CAcert Zertifikate zur SMIME-Verschlüsselung oder Signierung angeboten zu bekommen. Egal welchen Weg ich auch gewählt habe diese auf das iPhone zu bekommen. Mein Verdacht ist, dass es vielleicht daran liegen könnte, dass im CACert Zertifikat neben dem Zweck "Sichere Email" noch weitere Zwecke eingetragen sind. Der "Email-Account-Manager" auf dem iPhone scheint im Gegensatz zum Konfigurationsprogramm damit nicht klar zu kommen.
Es ist übrigens nicht so wie ich zunächst angenommen hatte, dass ein Zertifikat immer einem bestimmten Emailaccount zuzuordnen ist wenn Emailadresse oder irgendwas mit den Angaben im Zertifikat übereinstimmen. Bei einem funktionierenden Zertifikat bekommt man auf dem iPhone unter den Emaileinstellungen alle auf dem Gerät installierten persönlichen Zertifikate angezeigt und kann das richtige auswählen.
Bleibt also die Frage: Wo ist der Unterschied der CAcert-Zertifikate oderwelcher Eintrag darin hindert das iPhone diese zur SMIME-Verschlüsselung anzubieten?! Vielleicht einfach ein Bug über den man Apple informieren sollte?

Gruß

Mark

 

[dkrizic]

Hallo Mark,

ich habe mich mit genau demselben Thema beschäftigt. Ich habe ein CACert-Zertifikat und setze es für die folgenden Zwecke ein:

* Client Certificate bei der Authentifizierung bei www.cacert.org
* Zugriff per HTTPS-Server mit Server Certificates, die von CACert gesigned sind (was für ein Deutsch, aber besser so als übersetzen)
* E-Mail Signature
* E-Mail Encryption

Das ganze funktioniert sowohl auf dem Macintosh als auch mit Outlook unter Windows 7. Das ganze ist witzlos, wenn es nicht auf dem iPhone funktioniert, daher habe ich mich auch genau damit beschäftigt. Mein aktueller Stand ist auch:

* Ich habe die Root-Certificates drauf (Root und Class 3)
* Ich habe mein privates Certificate drauf
* Ich kann mich per Client Certificate in cacert.org anmelden
* Ich kann signierte Mails erkennen (Haken) und verschlüsselte Mails werden entschlüsselt (Schloss)

Aber ich kann keine signierten Mails verschicken und auch keine Mails encrypten. S/MIME kann ich einschalten aber bei den Schaltern für "Signing" und "Encryption" kriege ich keine Zertifikate angeboten. Mit einer anderen CA habe ich es noch nicht ausprobiert. Es scheinen irgendwelche OIDs zu sein, die im CACert nicht enthalten sind. Ich habe flüchtig einen Bug dazu gesehen, den ich jetzt aber aktuell nicht mehr finde.

Ich kann aber erstmal damit leben, dass ich auf dem iPhone "nur" entschlüsseln kann (sonst wäre es witzlos) aber Full-Featured wäre schon cool. Ich hoffe dass es seitens CACert (oder Apple) Änderungen gibt.

Gruß,

Darko

 

[cybersheep]

Bei CAcert läuft die Sache unter Bug-ID #540. Aktuell ist ein entsprechender Patch bereits im Testsystem erfolgreich getestet worden. Ich denke es ist nur noch eine Frage von Tagen bis es ins Produktivsystem übernommen wird. http://bugs.cacert.org/view.php?id=540

 

[raph]

Ist der Bug inzwischen gefixt?

Bei mir gehen die Zertifikate gar nicht.

Ich habe mithilfe des iPhone Configuration Utility ein Configuration Profile auf mein iPhone installiert, das den privaten Schlüssel von CACert enthält.

Das wird auch wunderbar so unter "Profile" auf dem iPhone angezeigt.

Wenn ich allerdings in den Mail-Einstellungen das Signieren aktivieren will, steht dort weiterhin "No valid certificates found".

Jemand eine Ahnung?

System:
iOS 5.1.1.
Mail-Accounts: Exchange, iCloud.
Zertifikate: Beide Root-Zertifikate installiert von CACert und das eigene mit privatem Schlüssel über das Configuration Utility.

Potenzielle Komplikationen, die mir einfallen:

* Mein iCloud- und Exchange-Account sind der selben E-Mail-Adresse zugeordnet (iCloud-Email benutze ich aber nicht).
* In meinem CACert-Zertifikat stehen mehrere E-Mail-Adressen.

 

[Markmaus]

Ein klares "Jein" Die Ursache ist klar und CACert hat eine Änderung der Zertifikatserweierungen beschlossen. Leider ist diese aber bislang noch immer nicht umgesetzt worden. Näheres siehe hier: http://www.widhalm.or.at/node/1263 und in den dort verlinkten Artikeln auf den CACert Seiten.

Gruß

Mark

Ist der Bug inzwischen gefixt?

Bei mir gehen die Zertifikate gar nicht.

Ich habe mithilfe des iPhone Configuration Utility ein Configuration Profile auf mein iPhone installiert, das den privaten Schlüssel von CACert enthält.

Das wird auch wunderbar so unter "Profile" auf dem iPhone angezeigt.

Wenn ich allerdings in den Mail-Einstellungen das Signieren aktivieren will, steht dort weiterhin "No valid certificates found".

Jemand eine Ahnung?

System:
iOS 5.1.1.
Mail-Accounts: Exchange, iCloud.
Zertifikate: Beide Root-Zertifikate installiert von CACert und das eigene mit privatem Schlüssel über das Configuration Utility.

Potenzielle Komplikationen, die mir einfallen:

* Mein iCloud- und Exchange-Account sind der selben E-Mail-Adresse zugeordnet (iCloud-Email benutze ich aber nicht).
* In meinem CACert-Zertifikat stehen mehrere E-Mail-Adressen.

 

[dkrizic]

Hi,

mittlerweile existiert iOS 6 und bei mir funktioniert jetzt alles wie gewünscht. Ich habe mir bei CACert neue Zertifikate erzeugt, diese auf dem Mac installiert und als PKCS#12 (.p12) Dateien exportiert und per iPhone Configuration Utility auf das iPhone und iPad geladen. Dort kann man jetzt S/MIME aktiveren und pro "Signing" und "Encryption" auch das Zertifikat auswählen, welches man verwendet möchte.

Mail von und an die iOS-Geräte sind nun signiert und auch verschlüsselt.

Es gibt aber noch ein Problem mit Google Apps. Wenn man Google Apps hat, kann man dort entweder per IMAP oder per Exchange ActiveSync drauf zugreifen. Wenn man letzteres macht, gibt es ein Problem beim Signing. Der Empfänger bekommt eine unsignierte E-Mail mit einem smime.p7s-Attachment. Ich dachte die ganze Zeit es ist ein Bug im iOS, aber es tritt wirklich nur im Zusammenspiel mit Google Apps und Exchange auf. Wenn man per IMAP auf Google Apps zugreift, dann funktioniert das auch (nur für Mail, der Rest kann bleiben). Der einzige Nachteil ist, dass man dann kein Push mehr hat.

Gruß,

Darko