我正在致力于推出自己的 MDM 服务,并尝试按照 Apple 的 MDM 协议文档的建议将 SCEP 和 MDM 有效负载结合起来。我在 C# .Net 中创建了自己的 SCEP Web 服务,并且我知道当我发送 SCEP 有效负载时,设备可以获得有效的证书。但是,当我还包含通过 IdentityCertificateUUID 密钥指向 SCEP 负载的 UUID 的 MDM 负载时,我收到以下错误:“注册服务器未提供有效的身份证书。" 此配置是在用户选择安装初始注册配置(第 2 阶段的第 1 步)后发送的配置this http://developer.apple.com/library/ios/#documentation/NetworkingInternet/Conceptual/iPhoneOTAConfiguration/OTASecurity/OTASecurity.html图表)。
该设备似乎甚至没有尝试连接到我的服务器,并且由于服务器端日志记录,我知道它永远不会到达我的 SCEP Web 服务页面。这似乎表明我用来签署有效负载的证书有问题。我分别尝试使用我的 SSL 证书(来自预信任的根证书颁发机构)、我的客户 MDM 推送证书(从我们的供应商证书链接)和我的自签名根证书颁发机构证书(通过 makecert.exe 创建)对其进行签名SCEP 服务用于颁发新证书(即设备身份证书)。
当我使用 MDM 和 SCEP 负载创建配置文件时,我查看了 iPCU(iPhone 配置实用程序)的输出,它不是有效的配置文件(我什至尝试过几乎批量复制它)。但是,当我通过 iPCU 安装配置文件时,不会出现错误,并且它会毫无问题地开始 SCEP 注册过程。
旁注 - 使用现有的 MDM 供应商不是这里的一个选项。
以下是我正在使用的配置文件:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadContent</key>
<dict>
<key>Challenge</key>
<string>this is a challenge</string>
<key>Key Type</key>
<string>RSA</string>
<key>Key Usage</key>
<integer>5</integer>
<key>Keysize</key>
<integer>1024</integer>
<key>Name</key>
<string>mycompany</string>
<key>Retries</key>
<integer>3</integer>
<key>RetryDelay</key>
<integer>0</integer>
<key>Subject</key>
<array><array><array>
<string>CN</string>
<string>mycompany</string>
</array></array></array>
<key>URL</key>
<string>https://mysite.com/scep.aspx</string>
</dict>
<key>PayloadDescription</key>
<string>Configures SCEP</string>
<key>PayloadDisplayName</key>
<string>SCEP (mycompany)</string>
<key>PayloadIdentifier</key>
<string>com.mycompany.mdm.scep1</string>
<key>PayloadOrganization</key>
<string></string>
<key>PayloadType</key>
<string>com.apple.security.scep</string>
<key>PayloadUUID</key>
<string>57225d3d-0758-4d23-8093-e4d8c9bbd47c</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
<dict>
<key>AccessRights</key>
<integer>3</integer>
<key>CheckInURL</key>
<string>mysite.com/checkin.aspx</string>
<key>CheckOutWhenRemoved</key>
<false/>
<key>IdentityCertificateUUID</key>
<string>57225d3d-0758-4d23-8093-e4d8c9bbd47c</string>
<key>PayloadDescription</key>
<string>Configures MobileDeviceManagement.</string>
<key>PayloadIdentifier</key>
<string>com.mycompany.mdm.mdm2</string>
<key>PayloadOrganization</key>
<string></string>
<key>PayloadType</key>
<string>com.apple.mdm</string>
<key>PayloadUUID</key>
<string>ed0ae41d-1aa7-4721-9fe9-139c1072132c</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>ServerURL</key>
<string>https://mysite.com/checkin.aspx</string>
<key>SignMessage</key>
<false/>
<key>Topic</key>
<string>com.apple.mgmt.mypushsubject</string>
<key>UseDevelopmentAPNS</key>
<true/>
</dict>
</array>
<key>PayloadDescription</key>
<string>Profile description.</string>
<key>PayloadDisplayName</key>
<string>Test Profile</string>
<key>PayloadIdentifier</key>
<string>com.mycompany.mdm</string>
<key>PayloadOrganization</key>
<string>mycompany</string>
<key>PayloadRemovalDisallowed</key>
<false/>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>13321058-4037-478c-9b1e-ef6f810065cb</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>
我就此事与苹果取得了联系。
显然,您想要在我在问题中链接的图表的第 3 阶段的第 2 步中发送组合的 MDM 和 SCEP 有效负载,这是 OTA 注册后发送的配置文件。根据 Apple 的说法,您需要两个单独的证书(这意味着两个 SCEP 注册) - 一个用于 OTA 注册,另一个用于 MDM 注册。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
