Discussion:
[s20130421.30] CAcert-Zertifikate für iPhone/iPad nutzen?
CAcert Support
2013-04-22 06:58:28 UTC
Permalink
Hallo allerseits,

wer kann bitte mit Einzelheiten weiterhelfen, was geht und wie es geht.

Hello Michael Friedemann,

ich leite es mal weiter an unsere mailinglisten. Bitte dort nach
Antworten schauen.
Mich würde dann interessieren, welche Zertifikate ich in welchem
Format auf dem iPad/iPhone installieren muß. Ich habe das schon mal
versucht, vom Mac exportiert und dann auf dem iPad installiert. Dort
bekomme ich die Zertifikate aber nur als nicht vertrauenswürdig
installiert.
Da die Stammzertifikete von CAcert nicht standardmäßig in den gängigen
Betriebssystemen und Browsern enthalten sind, musst Du sie erstens
selber installieren und zweitens ausdrücklich sagen, dann Du ihnen vertraut.
Eine kleine Anleitung, wie ich schrittweise vorgehen und beim
installieren beachten müßte wäre sehr schön.
Schon mal vielen Dank für die Hilfe.
--
Kind Regards
Werner Dworak
CAcert support
Michael Nausch
2013-05-15 11:44:54 UTC
Permalink
HI!
Mich wÃŒrde dann interessieren, welche Zertifikate ich in welchem
Format auf dem iPad/iPhone installieren muß.
Das wÃŒrde mich auch sehr stark interessieren, da ich fÃŒr den Webmailer
und fÃŒr die iPad|Phone|Pod die .mobilconfig mit meinem
codesigning-Zertifikat signiert habe. Und die ZielgerÀte benötigen
natÃŒrlich die beiden Root-Zertifikate als vertrauenswÃŒrdige Root-CAs.
... Du sie erstens
selber installieren und zweitens ausdrÃŒcklich sagen, dann Du ihnen vertraut.
Tja um genau diesen Vorgang handelt es sich. Was muss ich wie am
iPhone-Konfigurator oder am iPhoine|Pad|Pod machen, damit die CAcert
Root-Zertifikate "als vertrauenswÌrdig installiert" werden können.


cul8r
Django
Andreas Krueger
2013-05-15 13:17:48 UTC
Permalink
Der Zertifikatscontainer muss mit dem GerÀteeigenen Zertifikat Signiert werden.
Daher muss dieses angeschlossen oder als Export vorhanden sein. Nur dann lassen sich die im Container vorhandenen als "ÌberprÌft" einrichten und finden Verwendung auf dem GerÀt.
Das scheint jedoch nicht fÃŒr Chrome zu gelten ...

Gruss, Andreas

--
Andreas Krueger
Gesendet mit Sparrow (http://www.sparrowmailapp.com/?sig)
Post by Michael Nausch
HI!
Mich wÃŒrde dann interessieren, welche Zertifikate ich in welchem
Format auf dem iPad/iPhone installieren muß.
Das wÃŒrde mich auch sehr stark interessieren, da ich fÃŒr den Webmailer
und fÃŒr die iPad|Phone|Pod die .mobilconfig mit meinem
codesigning-Zertifikat signiert habe. Und die ZielgerÀte benötigen
natÃŒrlich die beiden Root-Zertifikate als vertrauenswÃŒrdige Root-CAs.
... Du sie erstens
selber installieren und zweitens ausdrÃŒcklich sagen, dann Du ihnen vertraut.
Tja um genau diesen Vorgang handelt es sich. Was muss ich wie am
iPhone-Konfigurator oder am iPhoine|Pad|Pod machen, damit die CAcert
Root-Zertifikate "als vertrauenswÌrdig installiert" werden können.
cul8r
Django
- smime.p7s
Michael Nausch
2013-05-15 15:50:30 UTC
Permalink
HI!

Kurz noch vorweg,ich selbst hab kein solches GerÀt, aber ein Kumpel
aus der anderen Abteilung, dem ich helfen darf.
Post by Andreas Krueger
Der Zertifikatscontainer muss mit dem GerÀteeigenen Zertifikat Signiert werden.
Aha, und was bedeutet das fÃŒr mich nun? Wie signiere ich nun den
Zertifikatscontainer?
Post by Andreas Krueger
Daher muss dieses angeschlossen oder als Export vorhanden sein.
Woot? Wie schließt man diesen Zertifikatscontainer nun an oder
exportiert diesen?

Den weg ÃŒber den Browser und einem Klick auf
https://www.cacert.org/certs/root.crt und
https://www.cacert.org/certs/class3.crt reicht ja nicht aus. Auch der
Weg ÃŒber den iPhone-Konfigurator misslang. Mir fehlt da die gewohnte
Frage "wollen Sie dem Zertifikat vertrauen und fÃŒr was wollen Sie es
nutzen?".
Post by Andreas Krueger
Nur dann lassen sich die im Container vorhandenen als "ÃŒberprÃŒft"
einrichten und finden Verwendung auf dem GerÀt.
Gibts dazu irgendwo im Netz ein How2 oder ein Wiki? Wissen das die
Schmucken Herren und Damen in einem Apple-Shop? Die verticken doch das
Zeugs, die sollten doch wissen, wie man das macht, oder? ;)


Servus
Django
Mathias Mahnke
2013-05-15 16:49:43 UTC
Permalink
Moin moin,
Post by Michael Nausch
Gibts dazu irgendwo im Netz ein How2 oder ein Wiki? Wissen das die
Schmucken Herren und Damen in einem Apple-Shop? Die verticken doch
das Zeugs, die sollten doch wissen, wie man das macht, oder? ;)
aus eigner Erfahrung kann ich (nur) berichten: Import ist problemlos,
entweder per Mail zusenden und direkt am Geraet importieren oder per
"iPhone Configuration Utility" einspielen.

In beiden Faellen sind die Certs nicht vertrauenswuerdig. Meiner
damaligen Recherche nach, kann man gar keine "fremden" CAs als
vertrauenswuerdig bei iOS einstufen.

Wenn es anders waere, wuerde ich mich ueber eine Info auch sehr freuen.

Ahoi
- -mathias
Michael Nausch
2013-05-15 17:39:24 UTC
Permalink
HI!
Post by Mathias Mahnke
aus eigner Erfahrung kann ich (nur) berichten: Import ist problemlos,
Das klappte bisher auch, aber es bringt ja eigentlich nichts, wenn ich die CAcert Rootzertifikate zwar installieren konnte, diese aber dann beim Besuch (m)eines Webmailers https://büro.nausch.org dem Zertifikat des Webservers nicht vertraut wird, da den beiden Rootzertifikaten nich vertraut wird.
Oder was nützt mir meine signierte Mailserverconfig.mobileconfig Datei, wenn ich dieses mit meinem Codesigning Zertifikat zwar signieren konnte, diese aber dann nicht vertraut wird. :-(
Post by Mathias Mahnke
In beiden Faellen sind die Certs nicht vertrauenswuerdig.
Genau das ist mein Problem!
Post by Mathias Mahnke
Meiner
damaligen Recherche nach, kann man gar keine "fremden" CAs als
vertrauenswuerdig bei iOS einstufen.
Was macht man dann mit seinen Zertifikaten bei dem Apple-Geräten? Nix oder wie? Komisches teures Zeug das ist, sagt Meister Joda.
Post by Mathias Mahnke
Wenn es anders waere, wuerde ich mich ueber eine Info auch sehr freuen.
Wenn ich mal herausgefunden habe wie das geht, werde ich das entsprechend für die Nachwelt dokumentieren.

Servus
Django
- --
Michael Nausch
- -----------------
sent with R2Mail2
Andreas Krueger
2013-05-16 04:12:48 UTC
Permalink
Moin in die Runde,

ich habe Euch das vorgehen dann doch mal in einem PDF zusammengefasst ...

http://www.andreas-krueger.de/downloads/?iOS_CA

Sollten nun noch Fragen bleiben, Meldet Euch einfach.

Gruss, @ndy
--
________________________________________________________________

Mails bitte als Nur Text Senden !!
Please send Mails only as Plaintext !!
________________________________________________________________

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte
Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder
diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender dieser Mail.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately.
Mathias Mahnke
2013-05-16 05:23:19 UTC
Permalink
Hallo Andreas,
Post by Andreas Krueger
ich habe Euch das vorgehen dann doch mal in einem PDF zusammengefasst ...
http://www.andreas-krueger.de/downloads/?iOS_CA
Sollten nun noch Fragen bleiben, Meldet Euch einfach.
danke - die CA Certs selbst sind weiterhin nicht vertrauenswuerdig,
oder? In meinem Anwendungsfall wird EAP/PEAP der Radius Server mit einem
Cert versehen und durch den iOS Client bei der WLAN Authentifizierung
ueberprueft.

Kannst du noch einen Screenshot anfuegen, der den Status der beiden PKI
Certs zeigt?

Gruesse
Mathias
Andreas Krueger
2013-05-16 05:33:57 UTC
Permalink
Hallo Mathias,
Post by Mathias Mahnke
Post by Andreas Krueger
ich habe Euch das vorgehen dann doch mal in einem PDF
http://www.andreas-krueger.de/downloads/?iOS_CA
danke - die CA Certs selbst sind weiterhin nicht vertrauenswuerdig,
oder? In meinem Anwendungsfall wird EAP/PEAP der Radius Server mit
einem Cert versehen und durch den iOS Client bei der WLAN
Authentifizierung ueberprueft.
Kann es sein, dass Du die Zertifikate noch als "untrusted" Direkteinrichtung
auf dem Gerät hast ?
Alle vorherigen Einrichtungsversuche müssen entfernt werden !
Post by Mathias Mahnke
Kannst du noch einen Screenshot anfuegen, der den Status der beiden
PKI Certs zeigt?
Die haben keinen weiteren Status, es lassen sich nur die die Details
anzeigen.
Zuständig für das Vertrauen ist die Installation mit der Gerätesignatur.

Gruss, @ndy
--
________________________________________________________________

Mails bitte als Nur Text Senden !!
Please send Mails only as Plaintext !!
________________________________________________________________

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte
Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder
diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender dieser Mail.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately.
Andreas Krueger
2013-05-16 14:20:32 UTC
Permalink
Hallo Mathias,

hier noch ein Nachtrag zu Deiner Speziellen Frage ..
Post by Mathias Mahnke
Post by Andreas Krueger
http://www.andreas-krueger.de/downloads/?iOS_CA
Ich habe das Dokument noch einmal überarbeitet ..
Post by Mathias Mahnke
danke - die CA Certs selbst sind weiterhin nicht vertrauenswuerdig,
Wenn Du nach der Anleitung vorgehst sind diese auch Vertrauenswürdig.
Post by Mathias Mahnke
oder? In meinem Anwendungsfall wird EAP/PEAP der Radius Server mit
einem Cert versehen und durch den iOS Client bei der WLAN
Authentifizierung ueberprueft.
Hiefür legst Du am besten auch gleich eine Konfiguration für das WLAN mit
an.
In den Einstellungen für das Firmenweite WLAN nach WPA/WPA2 kann unter dem
Punkt vertrauen angegeben werden, welche Zertifikate verwendung finden.


Gruss, Andreas
--
________________________________________________________________

Mails bitte als Nur Text Senden !!
Please send Mails only as Plaintext !!
________________________________________________________________

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte
Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder
diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender dieser Mail.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately.
Michael Nausch
2013-05-16 05:37:29 UTC
Permalink
Hi,
Post by Andreas Krueger
ich habe Euch das vorgehen dann doch mal in einem PDF zusammengefasst ...
O.K., wenn ich das mal vergleiche mit dem, was och bis dato gemacht habe, komme ich zu folgendem Ergebnis:

Damit den beiden CAcert Root-Zertifikaten das Vertrauen ausgesprochen werden kann, ist es notwendig, daß die rootcert.mobilconfig Datei mit dem iCPU Maschinenzertifikat signiert wird. Ist das so richtig? Wenn ja, dann könnte ich doch diese rootcert.mobilconfig Datei jedem CAcert-iPad|Phone|Pod-User in die Hand drücken und gut ists, oder?
Post by Andreas Krueger
Sollten nun noch Fragen bleiben, Meldet Euch einfach.
Da werde ich wohl.das.ein oder andere mal nochmals auf Dich zukommen, fürchte ich! :-)

cul8r
Django
- --
Michael Nausch
- -----------------
sent with R2Mail2
Andreas Krueger
2013-05-16 05:46:05 UTC
Permalink
Hallo Michael,
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hi,
Post by Andreas Krueger
ich habe Euch das vorgehen dann doch mal in einem PDF zusammengefasst ...
O.K., wenn ich das mal vergleiche mit dem, was och bis dato gemacht habe,
Damit den beiden CAcert Root-Zertifikaten das Vertrauen ausgesprochen
werden kann, ist es notwendig, daß die rootcert.mobilconfig Datei mit dem
iCPU Maschinenzertifikat signiert wird. Ist das so richtig? Wenn ja, dann
könnte ich doch diese rootcert.mobilconfig Datei jedem
CAcert-iPad|Phone|Pod-User in die Hand drÃŒcken und gut ists, oder?
Genau das geht nicht. Das von iCPU verwendete Zertifikat muss dem EndgerÀt
entsprechen; Du musst also fÌr jedes GetÀt das interne Device-Zertifikat
haben.
Alternativ geht natÃŒrlich auch ein schon gÃŒltiges und als trusted
hinterlegtes z.B einer MDM-Lösung.
Post by Andreas Krueger
Sollten nun noch Fragen bleiben, Meldet Euch einfach.
Da werde ich wohl.das.ein oder andere mal nochmals auf Dich zukommen,
fÃŒrchte ich! :-)
cul8r
Django
- --
Michael Nausch
- -----------------
sent with R2Mail2
-----BEGIN PGP SIGNATURE-----
Version: BCPG v1.47
iGsEARECACsFAlGUcJkkHE1pY2hhZWwgTmF1c2NoIDxtaWNoYWVsQG5hdXNjaC5v
cmc+AAoJEB8EcfEjhMhJ6vgAoKf9BYG2Dn7rUEIxOTF59dV7TyFxAKDZzSsOqzQb
hqO/WC1ilz7huVujMQ==
=4VXh
-----END PGP SIGNATURE-----
--
Diese Nachricht wurde auf Viren und andere gefaehrliche Inhalte untersucht
und sollte sauber sein.
Sollte die Nachricht trotzdem Spam enthalten, kann sie mit diesem link
http://mailfilter.krueger-de.org/cgi-bin/learn-msg.cgi?id=CBF1C27E10.A5C4B
entsprechend gekennzeichnet werden.
--
Von meinem iPhone gesendet.
Michael Nausch
2013-05-16 06:11:38 UTC
Permalink
Griasde!
Genau das geht nicht. Das von iCPU verwendete Zertifikat muss dem Endgerät
entsprechen;
Hmmm, ich habe auf einem Windows-Testrechner den iPhone-Konfigurator installiert, und dort ein Profil.mobilconfig erstellt und signiert. In der Datei sehe ich dann irgendeine iCPU Zeichenfolge. Nachdem ich ja keinerlei Geräteinformationen eones Applegerätes dort hinterlegt habe, stellt sich die Frage, was ist das für ein Maschinenzertifikat?
Du musst also für jedes Getät das interne Device-Zertifikat
haben.
Hab ich natürlich nicht und ich kann ja schlecht die Applegeräte aller Mailservernutzer meiner Maildomänen einsammeln, damit ich deren internes Gerätezertifikat habe.
Alternativ geht natürlich auch ein schon gültiges und als trusted
hinterlegtes z.B einer MDM-Lösung.
MDMwas?


ttyl
Django
- --
Michael Nausch
- -----------------
sent with R2Mail2
Mathias Mahnke
2013-05-16 08:12:00 UTC
Permalink
Post by Michael Nausch
Post by Andreas Krueger
Alternativ geht natÃŒrlich auch ein schon gÃŒltiges und als
trusted hinterlegtes z.B einer MDM-Lösung.
MDMwas?
Mobile Device Management
http://en.wikipedia.org/wiki/Mobile_device_management

Ahoi
- -mathias
Michael Nausch
2013-05-16 06:26:35 UTC
Permalink
Hi, ich bin es nochmal!
Du musst also für jedes Getät das interne Device-Zertifikat
haben.
Das bedeutet dann auch, das ich für jedes einzelne Apple-Gerät, dass einer nutzt, separat immer pro Gerät ein Profil erstellt werden muss, damit auf jedem Gerät dann die CAcert Root.-Zertifikate als vertrauenswürdige CA angesehen werden, oder?

cul8r
Django
- --
Michael Nausch
- -----------------
sent with R2Mail2
Michael Nausch
2013-05-31 12:39:21 UTC
Permalink
Griasde Andreas!
Post by Andreas Krueger
ich habe Euch das vorgehen dann doch mal in einem PDF zusammengefasst ...
http://www.andreas-krueger.de/downloads/?iOS_CA
Gut, ich hab mal das exact so "Nachgestellt" wie Du da beschrieben hast.
Den iPhoneconfigurator habe ich unter Windows XP installiert und die
dortigen CAcert-Root-Zertifikate eingebunden:
http://dokuwiki.nausch.org/doku.php/centos:cacert:windows
Post by Andreas Krueger
Sollten nun noch Fragen bleiben, Meldet Euch einfach.
Das Angebot nehme ich gerne nochmals in Anspruch. :) Warum? Weil ich
leider genau so weit bin wie vorher. :(
Besuche ich eine Seite, welche mit CAcert-Zertifikaten gesichert wurde,
bekomme ich eine Fehlermeldung am iPad "ServeridentitÀt kann nicht
ÃŒberprÃŒft werden", also z.B.:
https://www.andreas-krueger.de/
oder meine
https://autoconfig.nausch.org/apple/mailconfig4apple.php

Hast Du 'ne Idee, was da falsch laufen könnte? Die iPADs sind nicht
gejailbreaked und haben iOS 6.1... drauf


cu
Django
--
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django
Hans-Peter Lehner
2013-11-24 20:07:34 UTC
Permalink
Hallo Leute,

ich greife diese Sache noch mal auf...
Mir geht es rein um die Nutzung von S/MIME, dass ich mich nun auch auf der CAcert Seite per Zertifikat einloggen kann ist ein angenehmer Nebeneffekt ;-)

Die Anleitung von Andreas hat bei mir nie funktioniert, da bei meinen iOS Geräten im iPhone-Konfigurationsprogramm die Gerätezertifikate bereits abgelaufen waren, somit vertraut sich das Gerät selber nicht mehr, auch wenn eine Konfiguration für das spezielle Gerät gestrickt ist.
Anlässlich des iOS 7 Updates (Strom-Problem), habe ich mein altes iPad neu aufgesetzt und schau an, es gibt ein neues Zertifikat, und schon kann man die beiden Zertifikate von CAcert übertragen und selbige sind dann auch vertrauenswürdig. Nun habe ich ein neues Pad und Phone, auch hier geht es mit den Root, aber in allen Fällen klappt es dann immer noch nicht mit dem Mailen.
Egal was ich gemacht habe, mein von der CAcert Seite geladenes Zertifikat mit den beiden Root per Konfigprogramm rüber geschickt, oder direkt per Mail, es ging einfach nix.
Die Lösung, fragt mich nicht warum, das Zertifikat als .p12 aus der OS X Schlüsselbundverwaltung exportieren, das im Konfigprogramm zu den beiden anderen mit dazu und schon klappts auch mit dem Nachbarn.
Leider keine Hilfe für die Windows Kollegen, aber ich hoffe es hilft einigen, die bisher gescheitert sind.

Gruß
Hans-Peter
Post by Andreas Krueger
Moin in die Runde,
ich habe Euch das vorgehen dann doch mal in einem PDF zusammengefasst ...
http://www.andreas-krueger.de/downloads/?iOS_CA
Sollten nun noch Fragen bleiben, Meldet Euch einfach.
--
________________________________________________________________
Mails bitte als Nur Text Senden !!
Please send Mails only as Plaintext !!
________________________________________________________________
Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte
Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder
diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender dieser Mail.
This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately.
Michael Nausch
2013-05-16 16:14:22 UTC
Permalink
HI Andreas!
Post by Andreas Krueger
Der Zertifikatscontainer muss mit dem GerÀteeigenen Zertifikat Signiert werden.
Das bedeutet aber dann auch:
Wenn ich mir ein Apple-GerÀt kaufen sollte (was ich mir nun aber
wahrlich nicht vorstellen kann) dann muß man zwingend das GerÀt mit
einem PC anstöpseln auf dem der iPhone-Konfigurator installiert ist. Nur
so kann man dann das GerÀte-Zertifikat im iPhone-Konfigurator
importieren, sich dort ein Profil mit den beiden Root-Zertifikaten von
CAcert schnÃŒren, signieren und verschlÃŒsseln und dann auf dem
Apple-GerÀt installieren.

Habe ich das so richtig verstanden und wiedergegeben? Wenn ja, wie
bescheuert ist denn das bitte? Wenn nein, was habe ich ÃŒbersehen?


Servus
Django
Mathias Mahnke
2013-05-16 16:31:46 UTC
Permalink
Post by Michael Nausch
Habe ich das so richtig verstanden und wiedergegeben? Wenn ja, wie
bescheuert ist denn das bitte? Wenn nein, was habe ich ÃŒbersehen?
Ja, wieder das Stichwort: MDM. ;-)

Gruesse
-mathias
Christian Schildhorn
2013-05-16 16:39:32 UTC
Permalink
Hi Django!

Physischen Zugriff auf das GerÀt braucht man zum Erstellen eines signierten Profils nicht unbedingt und auch das Ausrollen kann man per bspw. per WebDL, Email oder Push machen, falls das GerÀt einem OS X Server bekannt ist, machen.

Zum Signieren benötigt man das Config Tool und ein selbstgewÀhltes Passwort.

In frÌheren iOS Versionen konnte man Root Certs auch am GerÀt installieren und das Vertrauen aussprechen, allerdings wurde das entfernt, da es hier eine Möglichkeit gab um Apps ohne Kauf im AppStore zu installieren. Darauf dann Lieschen MÌller Profile mit zusÀtzlichen Proxy Configs installiert hat um kostenlose Apps zu bekommen und Zack war es so, dass Login Daten fÌr den AppStore wegkamen und schön auf die Kreditkarte der "Sparer" geshoppt wurde.

Wenn ich mich recht entsinne.
Post by Michael Nausch
HI Andreas!
Post by Andreas Krueger
Der Zertifikatscontainer muss mit dem GerÀteeigenen Zertifikat Signiert werden.
Wenn ich mir ein Apple-GerÀt kaufen sollte (was ich mir nun aber
wahrlich nicht vorstellen kann) dann muß man zwingend das GerÀt mit
einem PC anstöpseln auf dem der iPhone-Konfigurator installiert ist. Nur
so kann man dann das GerÀte-Zertifikat im iPhone-Konfigurator
importieren, sich dort ein Profil mit den beiden Root-Zertifikaten von
CAcert schnÃŒren, signieren und verschlÃŒsseln und dann auf dem
Apple-GerÀt installieren.
Habe ich das so richtig verstanden und wiedergegeben? Wenn ja, wie
bescheuert ist denn das bitte? Wenn nein, was habe ich ÃŒbersehen?
Servus
Django
Andreas Krueger
2013-05-16 18:09:18 UTC
Permalink
Hallo Christian,
Post by Christian Schildhorn
Physischen Zugriff auf das GerÀt braucht man zum Erstellen eines
signierten Profils nicht unbedingt und auch das Ausrollen kann man
Doch, zumindest alle zwei Jahre. Länger ist der Abruf des Geräteinternen Zertifikats nicht gültig.
Nach Ablauf dieses Zeitstempels werden die so Importierten Zertifikate leider ungültig und der Spass beginnt von vorne.
Einzig der Weg über ein MDM bringt hier Abhilfe.

Gruss, @ndy
--
________________________________________________________________

Mails bitte als Nur Text Senden !!
Please send Mails only as Plaintext !!
________________________________________________________________

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte
Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder
diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender dieser Mail.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately.
Michael Nausch
2013-05-17 09:24:23 UTC
Permalink
Ahoi!
Post by Andreas Krueger
Doch, zumindest alle zwei Jahre. Länger ist der Abruf des Geräteinternen
Zertifikats nicht gültig.
O.K. das kann ich bedingt nachvollziehen, da das signing-certificate ja
ausläuft. Egal ob es nun das Geräte-Zertifikat ist, oder meines von CAcert.
Post by Andreas Krueger
Nach Ablauf dieses Zeitstempels werden die so Importierten Zertifikate
leider ungültig und der Spass beginnt von vorne.
OMG, gkaube ich bleibe bei der Variante mit der unsignierten
Mailserver.mobilconfig Datei, die die Nutzer dedss Mailservers abfragen
können. Dann haben die wenigstens den gleichen Komfort wie meine
kMAil/Thunderbird und Outlook-User.

Das Problem mit den nicht getrusteten Root-Zertifikaten von CAcert
bleibt natürlich bestehen.
Post by Andreas Krueger
Einzig der Weg über ein MDM bringt hier Abhilfe.
MDM heißt ja im Falle iPhone|Pod|Pad befasse Dich mit dem
iPhonekonfigurator. Nur aktuell könnte ich ja damit nur die Geräte mit
den CAcert Rootzertifikaten versorgen, deren Geräte-Zertifikate ich vor
dem rollout eingelesen und dann mit einem CAcert.mibilconfig Profil
betankt habe.

Es sei denn Apple würde ein entsprechendes signiertes Configfile mit
ausrollen, in dem die CAcert-Zertifikate beinhaltet wären. Und das
werden die partout nicht machen, wenn sogar die thawte im
Auslieferungsstand fehlen.


Servus
Django
Michael Nausch
2013-05-17 09:14:01 UTC
Permalink
HI Christian,
Post by Christian Schildhorn
Physischen Zugriff auf das GerÀt braucht man zum Erstellen eines signierten Profils nicht unbedingt
Ja wie nun? Ich dachte man muss das GerÀtezertifikat des iPhone|iPad
haben, damit man die das Profil mit den "eigenen Root-Zertifikate"
signieren und somit das Vertrauen aussprechen kann?
Post by Christian Schildhorn
und auch das Ausrollen kann man per bspw. per WebDL, Email oder Push machen,
Ja, das habe ich schon hinbekommen, hab da mal ein wenig gebastelt als
"Designstudie": http://autoconfig.it-ignorant.org/apple/mail4iphone.php
Aber das Profil ist natÃŒrlich nicht signiert! Ich hab auch eine
Variante, wo ich mit meinem Codesigning-Zertifikat, die
Mailconfig.mobileconfig signiert habe. Leider wird die Config als "nicht
geprÃŒft" gebrandmarkt, weil ja die CAcert-Rootzertifikate fehlen.
Post by Christian Schildhorn
falls das GerÀt einem OS X Server bekannt ist, machen.
Was genau muß ich mir zu dem "falls bekannt" vorstellen. Da kann ich Dir
nicht ganz folgen, was Du damit meinst. Ich bin ab und an etwas schwer
von Begriff.
Post by Christian Schildhorn
Zum Signieren benötigt man das Config Tool und ein selbstgewÀhltes Passwort.
Was ich bei dem iPhone-Konfigurator nicht verstanden habe, ist:
Wie weiß das Programm, welches Zertifikat zum Signieren verwendet werden
soll. Irgenwie muss ich doch bekannt geben, dass er dazu z.B. mein
codesigning-certificate benutzen soll oder das ausgelesene
Maschinenzertifikat des EndgerÀtes.


Servus
Django
Andreas Krueger
2013-05-16 18:04:05 UTC
Permalink
Hallo Michael,
Post by Michael Nausch
Post by Andreas Krueger
Der Zertifikatscontainer muss mit dem GerÀteeigenen Zertifikat Signiert werden.
Wenn ich mir ein Apple-GerÀt kaufen sollte (was ich mir nun aber
wahrlich nicht vorstellen kann) dann muÃY man zwingend das GerÀt mit
einem PC anstöpseln auf dem der iPhone-Konfigurator installiert ist.
Nur so kann man dann das GerÀte-Zertifikat im iPhone-Konfigurator
importieren, sich dort ein Profil mit den beiden Root-Zertifikaten von
CAcert schnÃŒren, signieren und verschlÃŒsseln und dann auf dem
Apple-GerÀt installieren.
Habe ich das so richtig verstanden und wiedergegeben? Wenn ja, wie
bescheuert ist denn das bitte? Wenn nein, was habe ich ÃŒbersehen?
Ja, hast Du.
Zu der Strategie von Apple vermag ich nichts zu sagen. Benutzerfreundlich ist aber was anderes.
Du hast das schon richtig erfasst ..

Gruss, @ndy
--
________________________________________________________________

Mails bitte als Nur Text Senden !!
Please send Mails only as Plaintext !!
________________________________________________________________

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte
Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder
diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender dieser Mail.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately.
Michael Nausch
2013-05-22 19:54:07 UTC
Permalink
Servus Andreas Krueger, Servus Christian Schildhorn, HI Ihr Appel-User! ;)

Ich knabbere immer noch an der CAcert-Geschichte herum. Ich tu' mir da
etwas schwer, weil ich immer ein freiwilliges Opfer suchen muss, der
mir mal sein Gerät zum Testen gibt. O.K. darum kann und will ich euch
gar nicht bitte.

Den guten Hinweisen nach, scheinen ja zumindestens zwei hier
erfolgreich die CAcert Root-Zertifikate auf einem iPhone|Pad|Pod
installieren konnten.
Andreas und Christian damit meine ich Euch beide! ;)

Ich hätte nun eine Bitte an euch, nein, es sind eigentlich zwei:

1) Zugriff auf mein mobiles Büro
Wenn Ihr mein mobiles Büro aufruft, dann bekommt Ihr *keine*
Zertifikatswarnung, oder? Ach ja, die URL lautet:
https://büro.nausch.org

2) Konfiguration des Mailclients
Auf der Seite
https://autoconfig.nausch.org/apple/mailconfig4apple.php
sollen sich die User meiner Maildomänen ihr individuelles
Konfigurationsfile für iPhone|Pad|Pod erstellen können.

Gibt man dort (s)einen Namen und (s)eine eMailadresse ein und
klickt auf die Schaltfläche [Senden] fällt einem das .mobilconfig
entgegen. Könnte das einer von euch mal ausprobieren und mir
Bescheid geben, ob das Profil signiert und die Signatur gültig ist.
Kurz zusammengefasst, ist da das "grüne Häckchen" dran? :)

Ihr würdet mir da sehr helfen, wenn ich da ein wenig Feedback bekommen
könnte! Ich sag schon ma 1.000 Dank für die Hilfe!

Sollte Euch sonst was auffallen, oder wenn Ihr noch Fragen habt, dann
sprecht mich bitte einfach an.


Servus
Django
Jens Erat
2013-05-22 20:06:52 UTC
Permalink
Hallo an alle,

also dann gebe ich doch auch mal noch meinen Senf dazu.

Ich hatte die Root-Zertifikate einfach so installieren können, CAcert-Seite öffnen, passendes Format auswählen und das wurde dann automatisch als Profil installiert. Ich habe immer nur so halb mitgelesen; habe ich irgend etwas verpasst und das ist nicht hinreichend, oder funktioniert diese Methode eigentlich schlicht nicht?

Damit hatte ich sowohl mit meinem iPhone und meinem iPad erfolg. Die Installation ist aber jeweils schon etwas länger her. Ich bin mir aber ziemlich sicher, nicht irgendwelche Zertifikate zwischen iOS-Gerät und Computer hin- und hergeschoben zu haben, sondern sie direkt vom Gerät aus installieren konnte.

Jedenfalls kann ich sowohl meine Server erfolgreich und ohne Zertifikatswarnung kontaktieren, als auch https://büro.nausch.org.

Bei selbstsignierten Zertifikaten wird trotzdem erfolgreich gewarnt.

Viele Grüße,
Jens
--
Jens Erat

[phone]: tel:+49-151-56961126
[mail]: mailto:email-k/***@public.gmane.org
[jabber]: xmpp:jabber-k/***@public.gmane.org
[web]: http://www.jenserat.de

PGP: 350E D9B6 9ADC 2DED F5F2 8549 CBC2 613C D745 722B
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Servus Andreas Krueger, Servus Christian Schildhorn, HI Ihr Appel-User! ;)
Ich knabbere immer noch an der CAcert-Geschichte herum. Ich tu' mir da
etwas schwer, weil ich immer ein freiwilliges Opfer suchen muss, der
mir mal sein Gerät zum Testen gibt. O.K. darum kann und will ich euch
gar nicht bitte.
Den guten Hinweisen nach, scheinen ja zumindestens zwei hier
erfolgreich die CAcert Root-Zertifikate auf einem iPhone|Pad|Pod
installieren konnten.
Andreas und Christian damit meine ich Euch beide! ;)
1) Zugriff auf mein mobiles Büro
Wenn Ihr mein mobiles Büro aufruft, dann bekommt Ihr *keine*
https://büro.nausch.org
2) Konfiguration des Mailclients
Auf der Seite
https://autoconfig.nausch.org/apple/mailconfig4apple.php
sollen sich die User meiner Maildomänen ihr individuelles
Konfigurationsfile für iPhone|Pad|Pod erstellen können.
Gibt man dort (s)einen Namen und (s)eine eMailadresse ein und
klickt auf die Schaltfläche [Senden] fällt einem das .mobilconfig
entgegen. Könnte das einer von euch mal ausprobieren und mir
Bescheid geben, ob das Profil signiert und die Signatur gültig ist.
Kurz zusammengefasst, ist da das "grüne Häckchen" dran? :)
Ihr würdet mir da sehr helfen, wenn ich da ein wenig Feedback bekommen
könnte! Ich sag schon ma 1.000 Dank für die Hilfe!
Sollte Euch sonst was auffallen, oder wenn Ihr noch Fragen habt, dann
sprecht mich bitte einfach an.
Servus
Django
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.13 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iEYEARECAAYFAlGdIkEACgkQHwRx8SOEyElUSgCgiJtweR3FRDc/51bDUJDTxvHc
Gm0AnAhPQmGE9GHWyidwaTMeeX3XA4M3
=Eo8U
-----END PGP SIGNATURE-----
Michael Nausch
2013-05-22 20:26:48 UTC
Permalink
Ahoi Jens!
Post by Jens Erat
Die Installation ist aber jeweils schon etwas länger her.
Ich habe mir sagen lassen, dass Apple da wohl irgendwann eine
"Anpassung" gemacht hat und es jetzt nicht mehr so einfach sein soll.

Der Import der Root-Zertifikate jedenfalls gin am Wochenende direkt
von der CAcert-Seite definitiv nicht.
Post by Jens Erat
Jedenfalls kann ich sowohl meine Server erfolgreich und ohne
Zertifikatswarnung kontaktieren, als auch https://büro.nausch.org.
O.K. das ist ja schon mal eine positive Info für mich.

Dürfte ich Dich nötigen, den zweiten Test auch noch zu machen? Du
musst das Profil ja nicht installieren! Mir reicht die Aussage, daß
das/der iPad|Phone|Pod die Datei erkennt und die Signatur als valide
anzeigt, also mit dem grünen Haken? Büüüttteeeeee ;) DANKE!


Servus
Django
Michael Nausch
2013-05-27 13:15:41 UTC
Permalink
HI!

Schön langsam zweifle ich an mir bzw. meinem Geisteszustand. ;)

Ich habe die hier unterbreiteten InstallationsvorschlÀge step by step
gemacht. Aber nach wie vor meckert der Safari, die Seite
https://autoconfig.nausch.org/apple/mailconfig4apple.php könne nicht
besucht werden. :/

Eigenartig, da ja hier berichtet wurde, dass dies bei einem oder anderen
definitiv nicht so sei.
Das Zertifikat auf dem Server ist gÃŒltig und beide Root-Zertifikate sind
importiert worden mit dem iPhoneconfigurator.

Ein Nutzer war so freundlich und hat auf der Seite
https://autoconfig.nausch.org/apple/mailconfig4apple.php den
Sende-Buttton gedrÃŒckt und mit nitgeteilt, dass ihm ein
Installationsprofil entgegen gefallen ist - was ja auch so völlig
richtig ist.

Von einem anderen iPad aus, kommt immer nur "Profil kann nicht
installiert werden - unbekannter Fehler".

Ich hab die CAcert-Geschichten bis dato immer hin bekommen. Aber bei
Apple verstehe ich schön langsam gar nicht, warum die beiden
Root-Zertifikate nicht als trusted anerkannt werden.

WÀre einer von den erfolgreichen Apple-Usern ev. so lieb und nett und
besucht die Seite
https://autoconfig.nausch.org/apple/mailconfig4apple.php
und sagt mir, ob es ohne Probleme und Fehler habt zugreifen können und
ob beim klicken des Sendebutton ein Fehler oder ein Profil zum
installieren kommt.

Danke!


cul8r
Django
Carl von Einem
2013-05-27 13:43:53 UTC
Permalink
Ich bekomme mit Safari (aktuelles iOS 6.1.3 auf iPod 4thGen) diese Meldung:

Serveridentität kann nicht überprüft werden
Safari kann die Identität von "autoconfig.nausch.org" nicht
überprüfen. Möchten Sie dennoch fortfahren?
[Abbrechen] [Details] [Fortfahren]

Habe "Fortfahren" nicht getestet (werde hier im Büro gebraucht), aber
"Details" bietet mir "Akzeptieren" an. Die Details zeigen nur das
Ablaufdatum des CAcert Class 3 Root Zertifikats, der nochmalige Klick
auf "Weitere Details" ist dann vollkommen sinnlos: da wo es interessant
wird (Schlüsselkennung), ist nicht ausreichend Platz und Safari regiert
nicht auf kurzen oder längeren Druck auf diesen Bereich. Also eigentlich
ein iOS Fail...

Mit Akzeptieren komme ich auf ein Eingabe-Formularfür user/email, das
scheint also zu funktionieren.

Ciao,
Carl
HI!
Schön langsam zweifle ich an mir bzw. meinem Geisteszustand. ;)
Ich habe die hier unterbreiteten Installationsvorschläge step by step
gemacht. Aber nach wie vor meckert der Safari, die Seite
https://autoconfig.nausch.org/apple/mailconfig4apple.php könne nicht
besucht werden. :/
Eigenartig, da ja hier berichtet wurde, dass dies bei einem oder anderen
definitiv nicht so sei.
Das Zertifikat auf dem Server ist gültig und beide Root-Zertifikate sind
importiert worden mit dem iPhoneconfigurator.
Ein Nutzer war so freundlich und hat auf der Seite
https://autoconfig.nausch.org/apple/mailconfig4apple.php den
Sende-Buttton gedrückt und mit nitgeteilt, dass ihm ein
Installationsprofil entgegen gefallen ist - was ja auch so völlig
richtig ist.
Von einem anderen iPad aus, kommt immer nur "Profil kann nicht
installiert werden - unbekannter Fehler".
Ich hab die CAcert-Geschichten bis dato immer hin bekommen. Aber bei
Apple verstehe ich schön langsam gar nicht, warum die beiden
Root-Zertifikate nicht als trusted anerkannt werden.
Wäre einer von den erfolgreichen Apple-Usern ev. so lieb und nett und
besucht die Seite
https://autoconfig.nausch.org/apple/mailconfig4apple.php
und sagt mir, ob es ohne Probleme und Fehler habt zugreifen können und
ob beim klicken des Sendebutton ein Fehler oder ein Profil zum
installieren kommt.
Danke!
cul8r
Django
Michael Nausch
2013-05-27 15:32:28 UTC
Permalink
HI Carl,
Serveridentität kann nicht überprüft werden Safari kann die
Identität von "autoconfig.nausch.org" nicht überprüfen. Möchten Sie
dennoch fortfahren? [Abbrechen] [Details] [Fortfahren]
Sollte er doch nicht, da Du als alter Full Assurer ja sicherlich die
aktuellen Root-Zertifikate auf Deinem iPod installiert hast und diese
sonst funktionieren.

Ein Bekannter hat mir versprochen, mit ev. morgen sein iPad mal
auszuborgen, damit ich das nachstellen kann.
Mit Akzeptieren komme ich auf ein Eingabe-Formularfür user/email,
das scheint also zu funktionieren.
Die Frage ist dort dann, warum akzeptiert das iPad die signierte
Profildatei dann, wenn man auf den Button [senden] tappt.


cul8r
Django
Loading...