Как проверить сертификат сайта на айфоне
Перейти к содержимому

Как проверить сертификат сайта на айфоне

  • автор:

Проверка подлинности на основе сертификатов для iOS не позволяет запрашивать сертификаты пользователей

Федеративные пользователи на устройствах Apple iOS с действительными сертификатами пользователей обнаруживают, что они не могут выполнить проверку подлинности Certificate-Based (CBA) для Microsoft Entra идентификатора. Однако федеративные пользователи на устройствах Android и Windows могут успешно пройти проверку подлинности с помощью CBA. Те же пользователи iOS не сталкиваются с проблемами при проверке подлинности с использованием имени пользователя и пароля.

Вот типичный интерфейс для пользователей iOS, которые не могут пройти проверку подлинности при входе в приложения Office с поддержкой ADAL в iOS:

  1. Пользователь выполняет настройку приложений Office. На странице входа в Office365 пользователь нажимает кнопку Вход.
  2. Откроется страница входа ADAL, на которой пользователь вводит свой федеративный адрес электронной почты, а затем нажимает кнопку Далее.
  3. Процесс входа в ADAL зависает на пустой странице до истечения времени ожидания и возвращает сообщение «Существует проблема с вашей учетной записью. Повторите попытку позже». На этой странице можно нажать кнопку ОК.
  4. Если пользователь нажимает кнопку ОК, он находится на той же пустой странице входа с параметром в верхней части экрана, чтобы нажать Кнопку Назад.
  5. Нажатие кнопки Назад возвращает пользователя на страницу входа ADAL, где процесс начинается с начала: пользователю будет предложено ввести свой федеративный адрес электронной почты, а затем нажмите кнопку Далее.
  6. Нажатие кнопки ОК возвращается на пустой экран входа, где пользователь может ввести userPrincipalName и повторить процесс.

Чтобы исключить приложения Office в качестве фактора, рекомендуется, чтобы федеративные пользователи в среде iOS проверяли проверку подлинности на основе сертификатов в браузере Safari, выполнив действия, описанные в разделе «Дополнительные сведения». Типичный интерфейс для пользователей iOS, которые не могут пройти проверку подлинности https://portal.office.com в браузере Safari, выглядит следующим образом:

  1. Пользователю не будет предложено утвердить использование своего сертификата пользователя после того, как он щелкнул ссылку Вход с помощью сертификата X.509.
  2. Федеративный пользователь либо находится на странице входа, не отвечающей на stS, либо переходит на страницу входа по умолчанию STS, где ей будет предложено следующее: Выберите сертификат, который требуется использовать для проверки подлинности. Если вы отмените операцию, закройте браузер и повторите попытку. Примечание Если в AD FS включены другие методы проверки подлинности, пользователи также увидят ссылку «Вход с другими параметрами». Если щелкнуть эту ссылку, они вернутся на страницу входа службы sts.
  3. Оба интерфейса завершаются сбоем со следующей ошибкой: Safari не удалось открыть страницу, так как сервер перестал отвечать на запросы.

Причина

Цепочка сертификатов не завершена, так как выдающий подчиненный сертификат ЦС не извлекается устройством должным образом, когда политика MDM отправляет только корневой сертификат на устройство Apple вместе с профилем SCEP.

Устройство iOS неправильно получает файл *.crt издателя ЦС, несмотря на то, что путь AIA к сертификату пользователя имеет допустимый URL-адрес, указывающий на файл *.crt подчиненного ЦС выдачи.

Решение

Если клиент использует Intune для управления устройством, посоветуйте ему создать новую политику конфигурации для доверенного корневого сертификата iOS, который указывает на промежуточные центры сертификации *. CER-файл. Затем посоветуйте им открыть корпоративный портал на устройстве и обновить политику. Подключение должно завершиться успешно.

Дополнительные сведения

Если вы берете трассировку Apple Configurator 2 из клиента OS X, подключенного к iPad с помощью молниеносного кабеля, журнал трассировки будет выглядеть примерно так:

> Nov 2 15:53:49 CSSs-iPad MobileSafari(Accounts)[618] : __51-[ACRemoteAccountStoreSession _configureConnection]_block_invoke.62 (57) "The connection to ACDAccountStore was invalidated." Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] : KeychainGetStatus(PCSiCloudServiceMarkerName): keychain: -25300 Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] : KeychainGetStatus(PCSiCloudServiceMarkerName): status: off Nov 2 15:53:49 CSSs-iPad accountsd(AccountsDaemon)[216] : -[ACDServer listener:shouldAcceptNewConnection:] (320) " () received" Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] : PCSIdentitySetCreate: CloudKit < kPCSSetupDSID = ">"; > Nov 2 15:53:49 CSSs-iPad MobileSafari(Accounts)[618] : __51-[ACRemoteAccountStoreSession _configureConnection]_block_invoke.62 (57) "The connection to ACDAccountStore was invalidated." Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] : KeychainGetStatus(PCSiCloudServiceMarkerName): keychain: -25300 Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] : KeychainGetStatus(PCSiCloudServiceMarkerName): status: off Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] : PCSIdentitySetCreate: CloudKit < kPCSSetupDSID = ">"; > . Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] : nw_connection_endpoint_report [8 sts..info:49443 in_progress resolver (satisfied)] reported event flow:finish_transport Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] : TIC TCP Conn Cancel [1:0x13dd17990] Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] : nw_endpoint_handler_cancel [1 portal.office.com:443 ready resolver (satisfied)] Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] : nw_endpoint_handler_cancel [1.1 13.107.7.190:443 ready socket-flow (satisfied)] Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] : __nw_socket_service_writes_block_invoke sendmsg(fd 4, 85 bytes): socket has been closed Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] : nw_endpoint_flow_protocol_disconnected [1.1 13.107.7.190:443 cancelled socket-flow (null)] Output protocol disconnected Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] : TIC TCP Conn Destroyed [1:0x13dd17990] Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] : TIC TLS Event [8:0x13dd4e0c0]: 2, Pending(0) Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] : TIC TLS Event [8:0x13dd4e0c0]: 11, Pending(0) Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] : TIC TLS Event [8:0x13dd4e0c0]: 12, Pending(0) Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] : TIC TLS Event [8:0x13dd4e0c0]: 13, Pending(0) Nov 2 15:54:34 CSSs-iPad securityd[88] : items matching issuer parent: Error Domain=NSOSStatusErrorDomain Code=-25300 "no matching items found" UserInfo=

Обратная связь

Были ли сведения на этой странице полезными?

Включение доверия для профилей сертификатов в iOS и iPadOS, установленных вручную

При ручной установке профиля, содержащего полезную нагрузку сертификата, в iOS и iPadOS этот сертификат не становится доверенным для SSL автоматически. Узнайте, как вручную включить доверие к установленному профилю сертификата.

No alt supplied for Image

Эта статья предназначена для системных администраторов учебных учреждений, предприятий и других организаций.

При установке профиля, полученного по электронной почте или загруженного с веб-сайта, доверие для SSL/TLS необходимо включать вручную.

Если требуется включить доверие SSL/TLS для такого сертификата, перейдите в раздел «Настройки» > «Основные» > «Об этом устройстве» > «Настройки доверия сертификатов». В разделе «Включить полное доверие для корневых сертификатов» включите доверие для сертификата.

Настройки доверия сертификатов на iPhone

Apple рекомендует развертывать сертификаты с помощью средств Apple Configurator или Mobile Device Management (MDM). Доверие полезных нагрузок сертификатов автоматически включается для SSL при их установке с помощью средств Configurator, MDM или в качестве части профиля регистрации MDM.

Как просмотреть SSL-сертификат на моем iPad из Safari?

Я пытаюсь просмотреть сертификат SSL для веб-сайта на своем iPad.

Например, как посмотреть сертификат SSL для этого сайта?

Используя Safari на рабочем столе, я могу щелкнуть значок маленького замка в адресной строке, чтобы просмотреть сведения о сертификате.

Как это сделать на iPad?

Пол Питерс

Существует также бесплатное приложение TLS Inspector. Тоже отлично работает. См. https://itunes.apple.com/us/app/tls-inspector/id1100539810?mt=8 .

ржавыймагнит

как раз то, что мне было нужно. Хороший способ проверить, внесли ли вы какие-либо изменения в DNS (поскольку он показывает сертификат и IP-адрес под именем хоста)

Франклин Ю

Существует еще один бесплатный TLS-сертификат Inspect-View .

Остин

Я полагаю, что эта функция еще не существует в Mobile Safari — возможно, потому, что она не пользуется большим спросом, поэтому она не занимает первое место в списке приоритетов разработки.

Попробуйте отправить запрос функции через официальную форму обратной связи Safari (выберите «iOS» в качестве операционной системы, чтобы они знали, что вы имеете в виду Mobile Safari): http://www.apple.com/feedback/safari.html

лпачеко

Это все еще верно в iOS 10?

Остин

@lpacheco Насколько я знаю, до сих пор невозможно просмотреть SSL-сертификаты в Safari на iOS 10. Несколько удивительно, поскольку сейчас их использует так много сайтов. Вы можете попробовать приложение SSL Detective, упомянутое в ответе Teecee 2015 года, но отзывы о нем неоднозначны (вежливый способ сказать, что две трети рецензентов дали ему одну звезду с момента его последнего обновления 20 месяцев назад).

Тиси

Есть приложение «SSL Detective». Многие профессиональные ИТ-коллеги используют этот инструмент:

Вы можете загрузить приложение SSL Detective из магазина приложений Apple. Он позволяет вам подключиться к URL-адресу на указанном вами порту и покажет вам сертификаты, связанные с этим сайтом (если они есть). Покупка в приложении, по-видимому, покажет более подробную информацию о сертификатах (я не покупал обновление, так как бесплатная версия работала для моих нужд).

bmike

Я добавил ссылку на инструмент и знаю, что многие профессионалы используют это приложение и доверяют ему. Бесплатная версия функциональна, и мне кажется, что обзоры в App Store немного резкие, поэтому я тоже разместил там обзор. На мой взгляд, это 5-звездочное программное обеспечение.

Определение действительности сертификата с помощью Связки ключей на Mac

С помощью Ассистент сертификации в приложении «Связка ключей» можно проверить сертификат, просмотрев его условия доверия, и определить, является ли он действительным.

  1. В приложении «Связка ключей» на Mac нажмите «Сертификаты» списке «Категория», затем дважды нажмите сертификате, который нужно проверить.
  2. Выберите пункт меню «Связка ключей» > «Ассистент сертификации» > «Проверить [имя сертификата]».
  3. Выберите политику доверия.
    • Чтобы проверить сертификат для электронной почты, выберите «S/MIME», затем введите адрес электронной почты отправителя.
    • Чтобы проверить веб-сервер, выберите SSL, затем введите URL сервера-хоста. Чтобы запросить сертификаты сервера у хоста, выберите параметр «Запрос сертификатов у хоста».
    • Чтобы проверить сертификаты других типов, выберите «Общий».
    • Чтобы просмотреть информацию о подписанном сертификате, выберите «Подпись кода».
    • Для получения более подробной информации о сертификатах и условиях доверия нажмите «Подробнее».
  4. Нажмите «Продолжить».

См. такжеПолучение информации о сертификате в Связке ключей на Mac

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *