Letztlich dürfte es aber doch eh egal sein, weil die gesamte SSL Verschlüsselung ja TLS 1.0 ist, welche ja sooo sicher nicht mehr ist. Zumindest wenn ich an offene WLAN Hotspots denke, in den ein MitM simpler ist, als Kekse backen..

*Provozier* ;)

tz wrote Erm doch, das funktioniert, das praktizieren wir schon seit Jahren. Alle unsere Seiten sind durch eine eigene CA signiert (weil wir nicht jährlich hunderte Euro dafür zahlen dass eine öffentliche CA mal ein Skript startet), das Zertifikat wird per Profil auf dem iPhone importiert und Safari bringt danach keine Warnungen mehr beim Zugriff auf diese HTTPS-Seiten. Es würde mich wundern, wenn dies bei anderen Anwendungen nicht genauso klappt.

Du hast recht. Mit einem vom IIS selbstsignierten Zertifikat geht es nicht, allerdings mit einem eigenen Stammzertifikat. Ich habe das hier eben mal mit OpenSSL und einem IIS 7 ausprobiert.

1. Mit OpenSSL erzeugt man sich ein Stammzertifikat, z.B. so:

openssl genrsa -des3 -out ca.key 4096

openssl req -new -x509 -days 365 -key ca.key -out ca.crt

Damit hat man einen privaten (ca.key) und einen öffentlichen (ca.cert) Schlüssel. Letzteres ist das Stammzertifikat, was man auf dem iPhone als vertrauenswürdiges Root-Zertifikat installiert (s.u.). 

2. Der nächste Schritt ist, im IIS einen Certificate Request (Sorry, hab hier gerade nur ein englisches System) zu erstellen und den als Datei abzuspeichern, z.B. myServer.csr

3. Jetzt erzeugt man mit Hilfe des Stammzertifikats und OpenSSL das Zertifikat für den Server. Hier im Beispiel mit Laufzeit 365 Tagen

openssl x509 -req -days 365 -in myserver.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out myserver.crt

4. Im IIS spielt man das Zertifikat myserver.crt über "Complete Certificate Request" ein. Damit hat der Webserver nun sein SSL-Zertifikat.

5. Jetzt noch daran denken der Website, in der SwyxWebAccess installiert ist, ein https Binding zu geben. Danach den SwyxWebAccess ConfigWizard nochmal durchlaufen lassen und den Haken bei "Update IIS Configuration" unbedingt setzen. Damit wird SwyxWebAccess passend zu den Bindings der Webseite konfiguriert.

6. Damit das in Schritt 1 erzeugte eigene Stammzertifikat aufs iPhone kommt, kann man z.B. mit dem iPhone Konfigurationsprogramm ein Konfigurationsprofil erzeugen, dem man das Stammzertifikat (ca.crt) hinzufügt. Das Profil installiert man dann auf dem iPhone.

Danach akzeptieren sowohl der WebBrowser, als auch SwyxIt! Mobile das vom IIS präsentierte Zertifikat ohne weitere Nachfrage.

Es ist zu empfehlen, sich mit dem Thema eigene CA genauer auseinanderzusetzen, z.B. sich Gedanken zu machen, wo und wie man den privaten Schlüssel des Stammzertifikats sicher aufbewahrt, usw.

Für alle die in der eigenen Windowsdomäne eine Zertifizierungsstelle betreiben, besteht auch die möglichkeit mit dem Stammzertifikat selbiger arbeiten.
dazu muss über die Zertifikatverwaltung (start->ausführen->mmc->datei-snapin hinzufügen->zertifikate) eine zertifikatanforderung erzeugt werden:

-> rechtsklick->alle aufgabe -> zertifikat anfordern

-> registrieren.

anschließend müsst ihr das so erstellte zertifikat nurnoch in der bindung der website hinterlegen und das stammzertifikat eurer zertifizierungsstelle auf dem iphone installieren.

EDIT:: das stammzertifikat kann man sich acuh einfach als emailanhang aufs iphone schicken und aus der mail-app heraus installieren...