Forum
Forum
 |  | | | | | | | | | | |  | | | |
| | |
| WebAccess 2011R2 - IPhone App (Germany) |
|
|
|
Hallo alle zusammen!
eine Sache macht mir beim WebAccess in Verbindung mit der Iphone App noch Probleme, die SSL-Variante funktioniert einfach nicht.
Im IIS ist die Bindung für SSL/HTTPS hinterlegt und das zugehörige Zertifikat ist auf dem IPhone installiert, trotzdem schlägt die Verbidung bei aktivierter sicheren Verbindung immer fehl „Verbindung fehlgeschlagen“.
Das Problem einer Firewall möchte ich ausschließen, die IIS Startseite ist über HTTPS erreichbar, ich teste das ganze übrigens im lokalen WLan.
Hat jemand eine Idee was noch falsch laufen könnte? |
|
|
| | | |  | tz | | 48 posts |  |
|
|
| Re: WebAccess 201122 - IPhone App (Germany) |
|
|
Ein Hinweis unabhängig von der konkreten Problemstellung: Zum Testen einen richtigen PC-Browser nehmen. Damit hat man es viel leichter Fehler zu diagnostizieren als mit dem mobilen Safari auf dem iPhone. HTTP-Header anschauen, Quelltext betrachten, notfalls mit Wireshark den gesamten Netzverkehr analysieren, etc.
Beim Aufruf der Webaccess-Seite über HTTPS müsste zumindest einmal ein SSL-Zertifikat vom Webserver präsentiert werden. Passt das zum eingerichteten Zertifikat? Wenn der IIS auf der selben IP-Adresse mehrere Seiten unter verschiedenen Domains anbieten soll, muss SNI oder ein Wildcard-Zertifikat verwendet werden.
Möglicherweise ist bei der Webaccess-Seite auch die Ausführung von Skripten deaktiviert, die falsche ASP-Version eingestellt oder Berechtigungen falsch. |
|
|
| | | | |
| Re: WebAccess 201122 - IPhone App (Germany) |
|
|
Danke für deine Hilfe tz,
allerdings geht es mir nicht um die WebApp sondern um die native IphoneApp aus dem Appstore. Ich wüsste nicht wie ich den Webservice für die native App über den Browser testen soll. die Startseite des IIS lässt sich über HTTPS aufrufen und ohne "sichere Verbindung" funktioniert auch die App. |
|
|
| | | | |
| Re: WebAccess 201122 - IPhone App (Germany) |
|
|
Hallo Chris,
du kannst den WebService über folgenden Aufruf testen:
https://<yourdomain>/iwa/ippbxdc/main.svc
Sollte sich die Seite öffnen und keine Fehlermeldung angezeigt werden, dann
ist das schon einmal ein Schritt in die richtige Richtung.
Handelt es sich bei dem von dir verwendeten Zertifikat um ein selbst signiertes (self-signed) Zertifikat?
Solche Zertifikate können mit unserem iPhone und Android App aus Sicherheitsgründen nicht verwendet werden.
Hier ist ein valides Zertifikat z.B. von VeriSign oder TrustWave erforderlich.
Sebastian Dreier
Swyx Solutions AG
Software Engineer (Server Development Team)
Microsoft Certified Professional Developer
Microsoft Certified IT Professional
|
|
|
| | | | |
| Re: WebAccess 201122 - IPhone App (Germany) |
|
|
Also wenn ich auf die Seite gehe: http://name.domain.de/iwa/ippbxdc/main.svc
Dann erscheint folgendes:
Geh ich auf die URL: http://name.domain.de/iwa/ippbxdc/ <-- bekomme ich den Verzeichnissinhalt angezeigt.
Ich bitte mal höffich um hilfe :-)
Danke
Gruß |
|
|
| | | | |
| Re: WebAccess 201122 - IPhone App (Germany) |
|
|
Danke Sebastian,
der Hinweis auf die Zertifikate sollte wohl die Erklärung liefern, ich verwende ein selbst signiertes Zertifikat.
Ist es technisch nicht möglich ein bereits auf dem Iphone installiertes Zertifikat das selbst signiert ist ebenfalls zu erlauben? - ansonsten komme ich zumindest in meinem Fall wohl darum herum ein weiteres Zertifikat zu kaufen |
|
|
| | | | |
| Re: WebAccess 201122 - IPhone App (Germany) |
|
|
Hallo Chris,
leider ist es technisch nicht möglich ein manuell installiertes Zertifikat mit unserem App zu verwenden.
Apple unterbindet dies leider.
Sebastian Dreier
Swyx Solutions AG
Software Engineer (Server Development Team)
Microsoft Certified Professional Developer
Microsoft Certified IT Professional
|
|
|
| | | | |
| Re: WebAccess 201122 - IPhone App (Germany) |
|
|
Root --> eigenes CA Zertifikat hinterlegen
Natürlich mit den üblichen "Risiken" verbunden. ;) |
|
|
| | | | |
| Re: WebAccess 201122 - IPhone App (Germany) |
|
|
Hey Sascha,
wem gilt dein Hinweis, mir oder den Entwicklern?
Falls er mir gilt bräcuhte ich noch ein bischen mehr informationen was du meinst... |
|
|
| | | | |
| Re: WebAccess 201122 - IPhone App (Germany) |
|
|
Als Mitglied des SwyxIt! Mobile 2011 Entwicklerteams kann ich sagen, dass wir den
von Sascha beschrieben Ansatz bereits ausprobiert haben. Doch leider ohne Erfolg.
Unser App erhält scheinbar keinen Zugriff auf manuell importierte Zertifikat.
Sebastian Dreier
Swyx Solutions AG
Software Engineer (Server Development Team)
Microsoft Certified Professional Developer
Microsoft Certified IT Professional
|
|
|
| | | | |
| Re: WebAccess 201122 - IPhone App (Germany) |
|
|
Hmm ok.. wieder ein Grund sich kein Apfelophone zuzulegen, wenn man selbst mit root/jailbreak keinen Zugriff auf selbst importierte CA zertifikate bekommt..
Schwache Leistung von Apple, dabei hatte ich schon mit dem Gedanken gespielt mir auch eine SIRI zuzulegen.. Vergessen wir das :) |
|
|
| | | | |
| Re: WebAccess 201122 - IPhone App (Germany) |
|
|
Um irgendwelchen Missverständnissen vorzubeugen. Wir haben natürlich nicht versucht, mittels Jailbreak CA-Zertifikate hinzuzufügen. Auch wenn das ginge, wäre das nichts, was wir gutheissen oder gar empfehlen würden.
Wir haben über die bekannten Mechanismen (Per EMail-Anhang erhaltenes Zertifikat oder per iPhone-Konfigurationsprogramm erzeugtes und aufs Telefon geladenes Konfigurationsprofil) versucht, ein selbstsigniertes Zertifikat zu installieren. Das geht prinzipiell, veranlasst das iPhone aber weder im Safari, noch in eigenen Apps ein solches Zertifikat als vertrauenswürdig einzustufen.
Martin HüserProduct Manager, Scrum Product Owner, Swyx Solutions AG |
|
|
| | | | |
| Re: WebAccess 201122 - IPhone App (Germany) |
|
|
| Martin Hüser wrote
Das geht prinzipiell, veranlasst das iPhone aber weder im Safari, noch in eigenen Apps ein solches Zertifikat als vertrauenswürdig einzustufen. |
Was den gesamten Mechanismus damit vollkommen sinnlos macht ;)
Dennoch sollte die Jailbreak Variante funktionieren, hat aber eben ggf. Nachteile die einem bewusst sein müssen.
Und bevor Gerüchte aufkommen: Der Vorgang an sich ist NICHT illegal und kann einem normalen Benutzer auch nicht untersagt werden (Bei den Skalven.. ähm.. Entwickler iPhones liegts ein wenig anders). Soll hier aber nicht weiter Thema sein. |
|
|
| | | | |
| Re: WebAccess 201122 - IPhone App (Germany) |
|
|
Der Mechanismus wird schon einen Sinn haben, vielleicht um S/MIME-Zertifikate zu installieren? Allerdings war für SwyxIt! Mobile 2011 das Feature "Unterstützung von Self-Signed Zertifikaten" nicht so wichtig, das es vertretbar gewesen wäre, nach ein einigen Tests und Nachforschungen zu dem Thema noch mehr Zeit zu investieren. Insbesondere, wenn der Release-Termin immer näher rückt ;-)
Natürlich ist ein Jailbreak nicht illegal. Es wäre aber nicht seriös, wenn wir als Firma unseren Kunden, und sei es nur als Workaround, nahelegen, ihr iPhone so zu manipulieren.
Martin HüserProduct Manager, Scrum Product Owner, Swyx Solutions AG |
|
|
| | | | |
| Re: WebAccess 201122 - IPhone App (Germany) |
|
|
| Martin Hüser wrote
Natürlich ist ein Jailbreak nicht illegal. Es wäre aber nicht seriös, wenn wir als Firma unseren Kunden, und sei es nur als Workaround, nahelegen, ihr iPhone so zu manipulieren. |
Aber wir sind doch hier auf der "Fanseite" und nicht der offiziellen Swyxseite ;)
und nu hör ich auch auf mit dem OT :-) |
|
|
| | | | | tz | | 48 posts | |
|
|
| Re: WebAccess 201122 - IPhone App (Germany) |
|
|
Martin Hüser wrote
Wir haben über die bekannten Mechanismen (Per EMail-Anhang erhaltenes Zertifikat oder per iPhone-Konfigurationsprogramm erzeugtes und aufs Telefon geladenes Konfigurationsprofil) versucht, ein selbstsigniertes Zertifikat zu installieren. Das geht prinzipiell, veranlasst das iPhone aber weder im Safari, noch in eigenen Apps ein solches Zertifikat als vertrauenswürdig einzustufen.
|
Erm doch, das funktioniert, das praktizieren wir schon seit Jahren. Alle unsere Seiten sind durch eine eigene CA signiert (weil wir nicht jährlich hunderte Euro dafür zahlen dass eine öffentliche CA mal ein Skript startet), das Zertifikat wird per Profil auf dem iPhone importiert und Safari bringt danach keine Warnungen mehr beim Zugriff auf diese HTTPS-Seiten. Es würde mich wundern, wenn dies bei anderen Anwendungen nicht genauso klappt. |
|
|
| | | | |
| Re: WebAccess 201122 - IPhone App (Germany) |
|
|
| tz wrote
... weil wir nicht jährlich hunderte Euro dafür zahlen dass eine öffentliche CA mal ein Skript startet ... |
SSL Zertifikate für einzelne Server gibt es für 15 EUR/Jahr, z. B. hier. |
|
|
| | | | |
| Re: WebAccess 201122 - IPhone App (Germany) |
|
|
Das sind "per Domain" Zertifikate.. Im Regelfall wird jemand er eine eigene CA für "interne" Seiten betreibt aber nicht nur ein Zertifikat brauchen.
Hab grad mal grob durchgerechnet.. Wenn ich mit 15€/jahr pro SSL Zertifkat kalkuliere, bin ich locker im 5stelligen Bereich ;) |
|
|
| | | | | tz | | 48 posts | |
|
|
| Re: WebAccess 201122 - IPhone App (Germany) |
|
|
Das führt zwar nun vom Thema weg, aber ich will trotzdem darauf antworten:
Marcus wrote
SSL Zertifikate für einzelne Server gibt es für 15 EUR/Jahr, z. B. hier.
|
Wir nutzen nicht für jede Webseite eine eigene IP-Adresse, das wäre unter Berücksichtigung der Adressknappheit auch nicht sinnvoll. Daher müssen wir entweder SNI einsetzen, was aber nicht jeder Browser und jedes Endgerät unterstützt, oder wir verwenden Wildcard-Zertifikate. Das heißt Zertifikate mit Subject Alternative Names im Stil von *.example.com, www.example.net, abc.example.net, ... Das ist im Zertifikat nur eine Zeile mehr, Zeitaufwand 1 Minute, aber das kostet dann nicht mehr erwähnte 15 EUR, sondern je nach Anbieter mehrere hundert bis tausend Euro. |
|
|
| | | | |
| Re: WebAccess 201122 - IPhone App (Germany) |
|
|
Hallo tz,
ich verstehe nicht ganz wo hier das Problem ist. Nur weil der WebAccess ein valides
(gekauftes) Zertifikat benötigt brauchst du doch nicht deine ganze CA Infrastruktur umstellen.
Sebastian Dreier
Swyx Solutions AG
Software Engineer (Server Development Team)
Microsoft Certified Professional Developer
Microsoft Certified IT Professional
|
|
|
|
| | | | | | | | | | |
|
Forum PolicyThe discussion forums at Swyx Forum are dedicated to the discussion of Swyx, SwyxWare and related topics. For the benefit of the community and to protect the integrity of swyx-form, please observe the following posting guidelines: - No Advertising. This includes promotion of commercial products and non-commercial products which are not directly related to SwyxWare, it's OEM versions.
- No Flaming or Trolling.
- No Profanity, Racism, or Prejudice.
- Furthermore, make sure your posts comply to our Terms of Use.
- Newest development in German law defines online forums as journalistic content, making the forum owner and all posters to journalists. With this statement the forum owner declares that neither he nor his users are journalists with all legal consequences.
- The German Jugendmedienschutz-Staatsvertrag (JMStV) (Protection of Minors) defines a disclosure of online medias which are not suitable for minors below the age of 18. The Swyx Forum webseite does not provide any such content and underlies therefore not this disclosure. Please see further details including the responsible person for the protection of minors and direct contact data in the Imprint.
- The forums are currently unmoderated, meaning all postings will appear immediately after submission. If this turns out not working due to massive abuse all forums will switch to moderated mode, meaning a posting must be approved after submission my a moderator before appearing.
- You can use any language you like (except for the project forums) but keep in mind that by using english you will reach the largest audience.
- Within the project forums english language is mandatory.
Forum PolicyThe discussion forums at Swyx Forum are dedicated to the discussion of Swyx, SwyxWare and related topics. For the benefit of the community and to protect the integrity of swyx-form, please observe the following posting guidelines: - No Advertising. This includes promotion of commercial products and non-commercial products which are not directly related to SwyxWare, it's OEM versions.
- No Flaming or Trolling.
- No Profanity, Racism, or Prejudice.
- Furthermore, make sure your posts comply to our Terms of Use.
- Newest development in German law defines online forums as journalistic content, making the forum owner and all posters to journalists. With this statement the forum owner declares that neither he nor his users are journalists with all legal consequences.
- The German Jugendmedienschutz-Staatsvertrag (JMStV) (Protection of Minors) defines a disclosure of online medias which are not suitable for minors below the age of 18. The Swyx Forum webseite does not provide any such content and underlies therefore not this disclosure. Please see further details including the responsible person for the protection of minors and direct contact data in the Imprint.
- The forums are currently unmoderated, meaning all postings will appear immediately after submission. If this turns out not working due to massive abuse all forums will switch to moderated mode, meaning a posting must be approved after submission my a moderator before appearing.
- You can use any language you like (except for the project forums) but keep in mind that by using english you will reach the largest audience.
- Within the project forums english language is mandatory.
|
|
 | | | | 
The default language in the forums is english, but feel free to use your mother tongue. Just keep in mind that by using english you will reach the largest audience.
The default language in the forums is english, but feel free to use your mother tongue. Just keep in mind that by using english you will reach the largest audience. | | | | | | | |
|