Iphone 5 S/MIME Zertifikatsproblem

    folgendes Problem:


    ich habe mit openssl eine .p12 Datei erzeugt und diese per Mail an das Iphone geschickt. (Die entsprechenden Schlüssel zum Verschlüsseln sind in meinem Mail-Client Thunderbird hinterlegt). Ich kann also verschlüsselte Mails vom Desktop per Thunderbird verschicken und diese Mails werden entschlüsselt im Iphone angezeigt.


    Wenn ich nun im Iphone in den Accounteinstellungen für Mail S/MIME aktiviere und Verschlüsseln aktiviere, so heißt es dort immer wieder: keine gültigen Zertifikate gefunden. Ich kann also keine Mails im Iphone verschlüsseln.


    Was mache ich falsch? wo ist der Fehler?


    Ich bin dankbar für jede Hilfe...

    Zitat

    Original geschrieben von Doktor M@buse
    Ist in der .p12 Datei denn Dein Private-Key enthalten?


    ja, ist enthalten...


    btw: ios Version ist 6.1.4

    Ich habe das bis jetzt immer mit *.pfx Dateien gemacht.
    Das klappte sowohl privat, als auch geschäftlich einwandfrei.

    All That We See Or Seem,
    Is But A Dream Within A Dream.

    Mercury, ist Deine Zertifikatsstelle (Certificate Authority; CA) vielleicht mit MD5 statt SHA-1 als Algorithmus signiert? Oder ist das eine well-known CA? Apple akzeptiert seit iOS 4.4 kein MD5 für eigene CAs mehr. Dass müsstest Du sehen unter Einstellungen » Allgemein » Profile » Deine CA » Mehr Details » Zertifikat » Signatur-Algorithmus » Algorithmus » MD5 mit …-Verschlüsselung. Dort steht dann „nicht vertrauenswürdig“ in rot.

    SHA-256 bzw. SHA-2 ist vergleichsweise neu. Keine Ahnung, kann das iOS schon für Client-Zertifikate? Was steht denn unter Menü » Einstellungen » Allgemein » Profile » dein Client-Zertifikat » Vertrauenswürdig?


    Steht das dort nicht, sind Deine Certificate-Authorities (CAs) dem iPhone bekannt und ebenfalls vertrauenswürdig? Dass Deine E-Mail-Adresse im Common-Name (CN) sein muss und die entsprechende Extension im Zertifikat stehen muss, ist ja klar, sonst ginge auch Mozilla Thunderbird nicht.


    Wenn Du einen Apple Mac hast, könntest Du auch mal schauen, was der Debug-Output während der Installation sagt.


    Wenn Du schon SHA2 macht, machst Du noch RSA oder bereits was anderes? Vielleicht komme ich heute dazu und werde Deine Situation in meiner PKI nachbauen. Hast Du Dir das Zertifikat ausgestellt oder Dein Arbeitgeber? Falls Du und es Deine PKI ist: Kannst Du Dir mal zum Test ein SHA-1/RSA/4096 ausstellen? Eine solche P12-Datei klappt bei mir hervorragend. Würde mich über ein Update freuen, dann kann ich mir das Nachbauen sparen. Wobei mich ein SHA2-Zerti jetzt wirklich reizt.


    :)

    Zitat

    Original geschrieben von Abi99
    SHA-256 bzw. SHA-2 ist vergleichsweise neu. Keine Ahnung, kann das iOS schon für Client-Zertifikate?

    iOS kann das.
    Jedenfalls klappt das hier mit iOS 7.0 und einem RSA/SHA-256 (OID 1.2.840.113549.1.1.11). Allerdings verschickt iOS die signierten Nachrichten weiterhin lediglich mit SHA-1 (und 3DES). Empfangen kann ich auch mit AES-256 bzw. SHA-512.

    Zitat

    Original geschrieben von Mercury
    ich habe mit openssl eine .p12 Datei erzeugt

    Apple Schlüsselbundverwaltung » Meine Zertifikate » Deines anklicken » Menüleiste » Ablage » Objekte exportieren » .p12

    Zitat

    Original geschrieben von Mercury
    und diese per Mail an das iPhone geschickt.

    • öffne das iPhone-Konfigurationsprogramm (iCU; alternative Anleitung Teil 1, Teil 2, Teil 3)
    • Konfigurationsprofile » Neu » Allgemein soweit ausfüllen
    • Zertifikate (links, unten) » Konfigurieren » .p12 auswählen.
    • iPhone über USB anschließen
    • links erscheint Dein iPhone; nicht in der Bibliothek sondern unter Geräte
    • klicke auf Dein iPhone, Zusammenfassung erscheint
    • klicke auf den Reiter Konfigurationsprofile
    • hier hast Du eine Taste Installieren

    Ganz rechts hast Du nun eine Konsole. Was sagt die?


    Im iPhone dann alles lesen, installieren und akzeptieren. Danach:

    • Einstellungen » Mail » Dein Account » Deine E-Mail-Adresse » (ganz unten) Erweitert » (ganz unten) S/MIME
    • alles wie gewünscht einstellen
    • (oben links) zurück über Erweitert
    • (oben links) zurück über Account
    • (oben nicht links sondern rechts) speichern über Fertig

    @All Zertifikate gibt’s bei:

    1. GlobalSign PersonalSign 2 (Belgien)
      Klasse 2 (mit Namen) gültig für 3 Jahre für 79 €, Überweisung möglich, dauert zwei Tage
      viel Zettelwirtschaft, aber machbar; bei Fragen, einfach uns fragen
    2. StartCom (Israel)
      kostenlos innerhalb von fünf Minuten oder
      Klasse 2 (mit Namen), gültig 2 Jahre für 49 €, Kreditkarte erforderlich, dauert weniger als 12 Stunden

    Gibt es noch mehr, die Klasse-2 auch für Privatleute machen?

    Zitat

    Original geschrieben von Abi99
    Gibt es noch mehr, die Klasse-2 auch für Privatleute machen?

    c. SwissSign Personal Gold ID (Schweiz)
    Klasse 2 (mit Namen) gültig für 5 Jahre für 99 €, seit Android 2.3 dabei, selbst noch nicht getestet

    Zitat

    Original geschrieben von Abi99
    Gibt es noch mehr, die Klasse-2 auch für Privatleute machen?

    d. Certum Professional ID
    e. Comodo CPAC Pro


    Vom Preis-Leistungsverhältnis (einmalige Kosten versus Bekanntheitsgrad der Ausgabestelle) ist mein Tipp aktuell Comodo. Bestellt man über die PSW-Group als Privatperson, gibt man bei den Pflichtfeldern „Organisation“ als auch bei der „Unterorganisation“ seinen Vor- und Nachnamen nochmals an. Einmal 70 € und drei Jahre Ruhe.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden