Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Netzwerke>iOS 13 und die Zertifikate

iOS 13 und die Zertifikate

caMpi
caMpi30.09.1919:09
Hallo Leute,
seit dem Update auf iPadOS 13 möchte sich mein iPad nicht mehr mit netzwerkinternen Diensten verbinden.
Ich betreibe eine kleine CA (mit XCA) und kann hinter jeden, der von Apple hier geforderten Punkte einen Haken setzen:
TLS-Serverzertifikate und ausstellende Zertifizierungsstellen, die RSA-Schlüssel verwenden, müssen Schlüsselgrößen größer oder gleich 2048 Bit verwenden. Zertifikate mit RSA-Schlüsselgrößen kleiner als 2048 Bit werden für TLS nicht mehr als vertrauenswürdig angesehen.
Schlüssellänge 2048 Bit
Ausstellende Instanz - Schlüssellänge 4096 Bit
TLS-Serverzertifikate und ausstellende Zertifizierungsstellen müssen im Signaturalgorithmus einen Hash-Algorithmus aus der SHA-2-Familie verwenden. SHA-1-signierte Zertifikate sind für TLS nicht mehr vertrauenswürdig.
Signatur-Algorithmus SHA-256 mit RSA-Verschlüsselung
Ausstellende Instanz - Signatur-Algorithmus SHA-256 mit RSA-Verschlüsselung
TLS-Serverzertifikate müssen den DNS-Namen des Servers in der SAN-Erweiterung (Subject Alternative Name) des Zertifikats angeben. DNS-Namen im CommonName eines Zertifikats sind nicht mehr vertrauenswürdig.
Alternativer Name des Inhabers
DNS-Name: FQDN.des.hosts
IP-Addresse: IP des Hosts
TLS-Serverzertifikate müssen eine ExtendedKeyUsage (EKU)-Erweiterung enthalten, die die "id-kp-serverAuth OID" enthält.
Erweiterte Schlüsselverwendung ( 2.5.29.37 )
Serverauthentifizierung ( 1.3.6.1.5.5.7.3.1 )
TLS-Serverzertifikate müssen eine Gültigkeitsdauer von 825 Tagen oder weniger haben (wie in den Feldern "NotBefore" und "NotAfter" des Zertifikats angegeben).
Erst gültig ab: Montag, 30. September 2019 um 02:00:00 Mitteleuropäische Sommerzeit
Nur gültig bis: Donnerstag, 3. Oktober 2019 um 01:59:59 Mitteleuropäische Sommerzeit

Ich habe die Zertifikate schon neu ausgestellt und sie auch mit öffentlichen Zertifikaten verglichen. Darin kann ich keinen Fehler erkennen.
Unter macOS 10.12.6 (Safari und aktuellster Chrome) und iOS 12.4.1 funktioniert alles super.

Hat jemand noch eine Idee? Danke!
+1

Kommentare

Markus23
Markus2330.09.1919:30
Hi,

ich spekulier mal, dass Du auch auf iOS/ipadOS Geräten die Root/Intermediate Certs deiner CA per Profile hinterlegt hast UND für diese Root Cert unter Einstellungen Allgemein Info Zertifikatsvertrauenseinstellung Volles Vertrauen aktiviert hast ?
+1
caMpi
caMpi30.09.1920:41
Da spekulierst du richtig. Zumindest hab ich das mal. Auf dem iPad war die Option allerdings jetzt aus.
Hab eben mein iPhone auf iOS 13.1.2 gebracht - da blieb die Option an.
Prima, danke für die Stütze.
Und dem Downvoter erklären wir bei Gelegenheit mal, was Zertifikate sind.
+1
Markus23
Markus2330.09.1920:51
Kein Ding, musste mich akut in der Firma mit rumschlagen - btw. downvote ausgleich ftw
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.