IOS MDM

 

关于Profile Payload中的身份证书我有几个问题。

如果有些问题是基本的,请原谅无知。

1.)我发现,我们可以直接使用SCEP标准或PKCS12证书进行设备标识。 建议使用SCEP,因为只有设备才知道私钥。 因此,如果我要实现SCEP服务器,是否需要维护映射到设备的身份证书公钥的列表,以便稍后用于加密?

2.)实施SCEP服务器的最佳方法是什么? 有没有可靠的可靠方法来采用它,而不是自己写所有东西?

3.)如果身份证已过期怎么办?

作为基本版本,我尝试在不使用SCEP的情况下将自己的p12证书添加到Payload中。

我尝试在身份有效负载内容密钥中添加base64编码的p12证书,如某些链接参考中所述。 我有一个错误

无法找到“测试MDM配置文件”的身份证书

而安装配置文件。 

  identity_payload['PayloadType'] = 'com.apple.security.pkcs12'
  identity_payload['PayloadUUID'] = "RANDOM-UUID-STRING"
  identity_payload['PayloadVersion'] = 1
  identity_payload['PayloadContent'] = Base64.encode64(File.read "identity.p12")
  identity_payload['Password'] = 'p12Secret'

当我检查'Configuration Profile key reference'时,有人提到我应该发送数据中Payload的二进制表示。 所以我试了一下, 

  identity_payload['PayloadContent'] = ConvertToBinary(File.read "identity.p12")

我有,

证书“IdentityCertificate”的密码不正确

我提供有效的密码来导出p12证书。

我究竟做错了什么?

回答你的问题:

1)我是否需要维护映射到设备的身份证书公钥的列表,以便稍后用于加密?

是。 你需要某种映射。 你可以做几种方法:

  • 只需将其存储在DB中证书通用名称和设备UDID之间的映射中即可。
  • 让CN包含UDID(我喜欢这种方法,因为它简化了初始检查)

    • 正如您所指出的那样,您将需要公钥来加密该设备的有效载荷。

    2)实现SCEP服务器的最佳方式是什么? 有没有可靠的可靠方法来采用它,而不是自己写所有东西?

    有SCEP的开源实现。 作为例子jSCEP有它(我用它)和EJBCA有它(我也使用它)。 我看到了其他的实现(在Ruby等)。 所以,你可以找到一个适合你的堆栈的东西。

    3)您需要更新身份证明才能使用(与其他证书相同)。

    4)如果您的配置文件不起作用,我建议您在iPhone配置实用程序中创建相同的配置文件并与您的配置文件进行比较。 大多数情况下,你错过了一个标签或类似的东西(需要花费很多才能将其与工作标签进行比较)。

    链接地址: http://www.djcxy.com/p/25735.html

    上一篇: IOS MDM

    下一篇: Akka: communicating back outside the actor system?