netzer2021
Goto Top

Self-Signed Certs auf iOS 15 nicht akzeptiert

Hallo Community,

ich habe mir vor kurzem ein kleines Homenet mit einigen Services aufgebaut. Darunter Nginx Proxy Manager, Nextcloud und Vaultwarden. Per OPNsense habe ich mir die Certificat chanin Root, Intermediate und Cert erstellt. Unter POPos im CA Store hinterlegt und zusätzlichim Brave eingespielt. Alle Verbindungen laufen nun per https über den Proxy (zu NExtcloud und Vaultwarden). So weit alles super!

Nun möchte ich auf meinem iPhone die Nextcloud und Bitwarden App nutzen. Dafür habe ich Root, intermediate und das Cert als profile in iOS installiert und über die about - "irgendwas" settings auch aktiviert bzw. manuell den trust gesetzt. Im Safari scheint es aktuell so, als wenn die Certs für die seiten Aufrufe a la: https://vault.meine-domain.home zu funktionieren.

Per BRave Browser und den angesprochenen IOS Apps bekomme ich weiterhin die Fehlermeldung, dass eine gesicherte Verbindung nicht aufgebaut werden kann.

Hat jemand eine Idee, einen Tipp in welche Richtung ich schauen kann etc.?

BEsten Dank!

Content-Key: 3592406738

Url: https://administrator.de/contentid/3592406738

Printed on: December 3, 2022 at 00:12 o'clock

Mitglied: 3479126418
3479126418 Aug 09, 2022 updated at 09:11:18 (UTC)
Goto Top
CA-Cert mit *.mobileconfig deployen dann klappt's auch direkt mit selbstsignierte Roots ohne Handarbeit.
https://support.apple.com/en-us/HT204477
Mitglied: 108012
108012 Aug 09, 2022 at 11:11:32 (UTC)
Goto Top
Hallo

Per BRave Browser und den angesprochenen IOS Apps bekomme ich weiterhin die Fehlermeldung, dass eine gesicherte Verbindung nicht aufgebaut werden kann.
In Brave auch noch einmal hinterlegen.

Dobby
Member: netzer2021
netzer2021 Aug 09, 2022 updated at 16:32:00 (UTC)
Goto Top
Also so ganz komme ich hier noch nicht weiter.

1. Versuch
Configurator habe ih installiert und das Root CA mit mobileconfig auf das iPhone kopiert, dann installiert und manuell dent rust gesetzt. AKzeptiert wird weiterhin nihts, sprich Warnung erscheint noch. Cert steht auch als "not signed" im iphone.
anschließend habe ich das itermediate cert auf identische weise installiert. Auch hier status not signed.

Installiere ich doe certs auf die oben beschriebene weise stehen sie zumindest mal auf "certified"

2. Versuch
Alle drei certs in eine mobileconfig und installiert. Auch hier keinen Erfolg. Weiterhin nur "not sigend" bei allen dreien.

Ich kann aktuell die mobileconfig nicht signieren auf dem Mac. Hab aber auch noch nicht ganz verstanden und erfassen können wie der Configurator eigentlich funktioniert. Muss ich zwangsweise darüber das Sign setzen gibt es andere Wege? Was muss ich noch beachten?

Kann ich auch im iOS Brave Certs hinterlegen? Habe da keine Option gefunden. Wobei es auf MacOS ja auch indirekt über die keychain geht. Hier sind im übrigen auf dem Mac alle drei Certs vorhanden und "signed" bzw. trusted.

security find-identity -p codesigning -v zeigt ebenfalls keine ident

Mit meiner Apple ID kann ich mich auch nicht am Configurator anemdlen.
Member: netzer2021
netzer2021 Aug 11, 2022 updated at 20:46:22 (UTC)
Goto Top
Ihc habe noch ein bisschen probiert, allerdings ohne Erfolg. Was ich bisher verstanden habe ist, dass es wohl auch als privat Mann nicht möglich ist einen für den Configurator Business oder School Account zu nutzen. Somit kann ich war profile erstellen, verteilen aber verifiziert sind diese auch nicht.
Im Netz finden sich auch einige Diskussionen über die Nextcloud App die wohl selbst mit LE Certs so ihre Probleme hat.

Ich habe mal im Vergleich zu der bisher genutzten Synology Drive App geschaut, hier kann ich beim ersten Aufruf und der Warnung immerhin sagen: Ja, ich will dem Cert in Zukunft vertrauen. Bei der Nextcloud App habe ich auch mal: connect anyway geklickt.

Mein Docker Host hat lediglich 443 offen, auch die OPNsense hat lediglich 443 für die beiden Netze erlaubt. Da ich beim Klick auf erlauben und ggf. spätern Aufrufen in der OPNsense erfolgreiche verbindungen vom Smartphone auf den Docker Host über 443 sehe gehe ich davon aus, dass die Verbindung verschlüsselt, wie gewünsht, erfolgt. Ist diese Annahme korrekt?

Nur mit der Bitwarden App wird es dann wohl nichts, da es hier keine Möglichkeit gibt dem Cert dennoch zu vertrauen. Schade und ärgerlich, damit ist Vaultwarden zusammen mit den Bitwarden Apps für mich nutzlos
Member: netzer2021
Solution netzer2021 Sep 12, 2022 at 20:27:54 (UTC)
Goto Top
Danke für das weitere Feedback.

Ich denke so tief brauche ich mich erst mal nicht damit auseinandersetzen, auch wenn es natürlich sinnvoll wäre, aber:

Ich habe noch mal etwas mit den Settings in der OPNsende bei der Zertifikat Erstellung herum probiert:
  • Aus reinem Server Zertifikat ein Server/Client Zertifikat gemacht
  • Gültigkeit auf 820 Tage begrenzt
  • CN auf meine interne .home gesetzt
  • Alle aktuellen Services als SAN eingetragen

So funktioniert alles wie ich mir das gedacht habe. iOS akzeptiert das Zertifikat ohne weitere Probleme. Alle genutzten iOS Apps funktionieren bisher.

Einziger Nachteil, den ich momentan sehe ist: kommt ein neuer Server müsste ich ein neues Zertifikat erstellen und verteilen. Bei der Anzahl an Geräten, ist das allerdings überschaubar und für die nächste Zeit sind alle Services vorhanden.

So far….