[iOS 14] Zertifizierungsstelle (*.p7b) installieren

[Stygian]

Hi,

ich möchte meine Arbeits-E-Mails auf meinem iPhone SE (2020) verfügbar machen. Der externe Zugang läuft bei uns im Betrieb über n Outlook-Webmail. Dazu muss ich ein persönliches passwortgeschütztes Zertifikat (*.pfx) und eine Zertifizierungsstelle (*.p7b) installieren. Das persönliche Zertifikat kann ich problemlos installieren. Die Zertifizierungsstelle lässt sich aber nicht installieren. Beim Klick auf die Datei öffnen sich nur Datei Infos. Hab die Datei lokal aus dem Handyspeicher, aus der iCloud und auch als Anhang in Mail versucht zu öffnen. Alles ohne Erfolg. Gibt's da n Trick, wie ich die installieren kann?

LG

 

[Ijon Tichy]

Vielleicht kann iOS mit dem p7b-Format nichts anfangen. Handelt es sich um ein Root-Zertifikat?

Kannst du das Zertifikat im PEM oder DER-Format exportieren?

 

[Stygian]

Bin nicht so ganz konform mit den Bezeichnungen bei Zertifikaten. Is ne Zertifizierungskette. Wenn ich das richtig verstanden habe, ist das gleichbedeutend mit nem Root-Zertifikat, oder? Ich hab mehrere Formate getestet. Kann aber grad nicht sagen, welche, weil ich (zum Glück) nicht mehr auf Arbeit bin. Das Zertifikat, das ich habe, ist im DER-Format (is aber trotzdem ne p7b-Datei). Ich mach morgen mal nen Screenshot.

 

[Ijon Tichy]

Am einfachsten wäre es vielleicht, eine signierte, aber nicht verschlüsselte Email an dein Account zu schicken. Da müssten normalerweise alle Zertifikate sein sein. Außer dem Root, das kann, muss aber nicht.

p7b ist meines Wissens nicht dasselbe wie DER. p7b ist ein PKCS#7-Bundle, also mehrere Zertifikate im PKCS#7-Format verpackt.

Nachtrag:
Nützliche Infos und wie man die Formate mittels OpenSSL konvertiert z. B. hier: https://knowledge.digicert.com/solution/SO26449.html

 

[Stygian]

So, da bin ich wieder.
Also ich hab nochmal bei uns auf der Arbeit nachgeschaut. Ich kann die Zertifikatkette nur als p7b-Datei runterladen. Ich kann aber die Kodierung auswählen. Entweder DER oder Base 64. Wie gesagt ist beides dann ne p7b-Datei. Kann beide aber nicht aufm iPhone öffnen.

Die Konvertierung funktioniert bei mir leider auch nicht. Hab kein macOS-Gerät, um das zu machen. Unter Ubuntu bricht die Konvertierung ab. Fehlermeldung könnte ich später posten, falls das was bringt.

Der Apple-Support sagt, ich müsse mich an die IT-Technik meiner Firma wenden, weil die Datei evtl. beschädigt sei. Das kann aber nicht sein, weil die gleiche Datei sich problemlos unter diversen Browsern unter Windows und Ubuntu installieren lässt. Und auch Android hat keine Probleme mit der Datei.

Wie meinst du das mit der signierten und nicht verschlüsselten E-Mail, die ich schicken sollte. Das wäre noch ne Idee.

Ansonsten steh ich bisschen aufm Schlauch. Naja, bin eh nur noch bis Ende das Jahres hier .

Danke schon mal für die Hilfe.

 

[Ijon Tichy]

Die Konvertierung müsste natürlich auch auf Ubuntu funktionieren. Die konkrete Fehlermeldung wäre sicherlich hilfreich.

Wenn du eine signierte, aber nicht verschlüsselte E-Mails versendest, wird der E-Mail-Client in der Regel alle erforderlichen Zertifikate dort mit hineinpacken. Allerdings meistens ohne das Root-Zertifikat, daher meine Frage, ob das ein Root-Zertifikat ist.

Du kannst die Zertifikate in der p7b-Datei so anzeigen lassen:

openssl pkcs7 -print_certs -in <filename>.p7b

Wäre vielleicht hilfreich. Du kannst ja die Namen überschreiben bevor du es postet.

Nachtrag/Ergänzung:

Um die Zertifikate aus dem p7b zu holen, hier ein Beispiel im PEM-Format:

openssl pkcs7 -inform PEM -outform PEM -in <filename>.p7b -print_certs > alle_zertifikate.pem

In alle_zertifikate.pem sind die Zertifikate dann alle drin, jeweils beginnend mit -----BEGIN CERTIFICATE----- und endend mit -----END CERTIFICATE-----. Da der Import mehrerer Zertifikate aus einem PEM-File meistens nicht funktioniert (die einen Programme nehmen nur das erste, die anderen nur das letzte, aber fast immer ohne einem zu sagen, dass nur eins verwendet wurde), empfehle ich die Zertifikate dann im Editor in einzelne Dateien aufzuteilen.

 

[Stygian]

Alles klar. Mach ich, wenn ich zu hause bin. Hab hier auf Arbeit nur ne Windows-Umgebung.

EDIT: Kurzer Nachtrag noch. Ich hab mir mal ne signierte Mail geschickt (einmal mit einmal ohne Klartext). Interessant finde ich, das "Mail" ziemliche Probleme hat die E-Mails zu öffnen. Das dauert ewig und dann wird kein Anhang angezeigt. Wenn ichs mit "GMX Mail" anschaue geht's und es hängt einmal ne p7m- und einmal ne p7s-Datei dran. Wenn ich die öffnen will, kommt "Die Dateiendung p7m (bzw. p7s) wird aktuell nicht unterstützt." (Das kam bei p7b nicht).

 

[Ijon Tichy]

Nur zur Info: Es gibt auch ein OpenSSL für Windows.

 

[Stygian]

Also, wenn ich versuche, die Datei in ne cer-Datei zu konvertieren, bekomm ich folgenden Fehler. Das gleiche passiert auch bei ner Konvertierung zu pem oder wenn ich versuche die einzelnen Zertifikate anzuzeigen oder zu extrahieren. Also der gleiche Fehler bei jeder openssl-Aktion:

unable to load PKCS7 object
140444820509888:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: PKCS7

 

[Wuchtbrumme]

auf dem iPhone benötigst Du IIRC ein Passwort vor dem Zertifikat, so wie man das beim Export aus dem Schlüsselbund auf dem Mac hinbekommt. Du müsstest halt jetzt dasselbe unter dem anderen OS machen, auf das Du zugreifen kannst.

 

[Ijon Tichy]

unable to load PKCS7 object
140444820509888:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: PKCS7

Die Datei scheint nicht wirklich im PKCS#7-Format zu sein. Wie erstellst du sie denn?

 

[Ijon Tichy]

auf dem iPhone benötigst Du IIRC ein Passwort vor dem Zertifikat, so wie man das beim Export aus dem Schlüsselbund auf dem Mac hinbekommt. Du müsstest halt jetzt dasselbe unter dem anderen OS machen, auf das Du zugreifen kannst.

Ein P7-Bundle enthält meines Wissens nur öffentliche Zertifikate und benötigt daher kein Passwort. Verwechselt du das mit P12 oder verwechsle ich hier etwas?

 

[Stygian]

Die Datei scheint nicht wirklich im PKCS#7-Format zu sein. Wie erstellst du sie denn?

Sorry, dass ich erst jetzt reagiere. Also ich erstelle die Datei nicht wirklich. Ich lade sie aus unserem Intranet runter. Dazu geh ich auf "https://pki/certsrv/" und klicke dann auf "Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Sperrliste" und dann noch auf "Download einer Zertifizierungsstellen-Zertifikatkette". Das bring Dir jetzt wahrscheinlich nicht viel, aber so mach ichs .

 

[Ijon Tichy]

Hm, stimmt, das bringt mir jetzt nicht so viel. Und vor allem dir auch nicht. Also ich kann dir jetzt allenfalls noch anbieten, dass du mir die Datei schickst und ich sie untersuche. Sollte ja kein Problem sein, da ein p7-Bundle ja nur die öffentlichen Zertifikate enthält.