身份证书 - IOS MDM

Question

关于Profile Payload中的身份证书我几乎没有问题。

如果有些问题是基本问题，请原谅无知。

1.）我发现，我们可以直接使用SCEP标准或PKCS12证书进行设备识别。 建议使用SCEP，因为只有设备才能知道私钥。 因此，如果我要实现SCEP服务器，是否需要维护映射到设备的Identity证书的公钥列表，以便以后可以使用它进行加密？

2.）实现SCEP服务器的最佳方法是什么？ 是否有可靠的稳健方法可以采用它而不是自己编写所有内容？

3.）如果身份证书过期怎么办？

作为游戏时的基本版本，我尝试在不使用SCEP的情况下将自己的p12证书添加到Payload。

我尝试在identity payloadcontent键中添加base64编码的p12证书，如某些链接引用中所述。 我收到了一个错误

找不到“测试MDM配置文件”的身份证书

安装配置文件时。

  identity_payload['PayloadType'] = 'com.apple.security.pkcs12'
  identity_payload['PayloadUUID'] = "RANDOM-UUID-STRING"
  identity_payload['PayloadVersion'] = 1
  identity_payload['PayloadContent'] = Base64.encode64(File.read "identity.p12")
  identity_payload['Password'] = 'p12Secret' 

当我检查“配置文件密钥引用”时 ，提到我应该发送数据中的Payload的二进制表示。 所以我试过，

  identity_payload['PayloadContent'] = ConvertToBinary(File.read "identity.p12")

我有，

证书“IdentityCertificate”的密码不正确

我提供有效的密码用于导出p12证书。

我究竟做错了什么？

Answer 1

回答你的问题：

1）我是否需要维护映射到设备的身份证书的公钥列表，以便以后可以使用它进行加密？

是。 你需要某种映射。 你可以做几种方式：

• 只需将其存储在DB中，即证书通用名称和设备UDID之间的映射。
• 使CN包含UDID（我喜欢这种方法，因为它简化了初始检查）

正如您所指出的那样，您需要使用公钥来加密此设备的有效负载。

2）实现SCEP服务器的最佳方法是什么？ 是否有可靠的稳健方法可以采用它而不是自己编写所有内容？

有SCEP的开源实现。 例如jSCEP有它（我用它）和EJBCA有它（我也使用它）。 我看到了其他实现（在Ruby等等）。 所以，你可以找到一个适合你的堆栈的东西。

3）您需要在消费之前更新身份证明（与任何其他证书相同）。

4）如果您的个人资料不起作用，我建议您在iPhone配置实用程序中创建相同的个人资料并与您的个人资料进行比较。 大多数情况下，你只错过了一个标签或类似的东西（如果不将它与工作标记进行比较，需要花费很多时间）。