身份證書 - IOS MDM

Question

關於Profile Payload中的身份證書我幾乎沒有問題。

如果有些問題是基本問題，請原諒無知。

1.）我發現，我們可以直接使用SCEP標准或PKCS12證書進行設備識別。 建議使用SCEP，因為只有設備才能知道私鑰。 因此，如果我要實現SCEP服務器，是否需要維護映射到設備的Identity證書的公鑰列表，以便以后可以使用它進行加密？

2.）實現SCEP服務器的最佳方法是什么？ 是否有可靠的穩健方法可以采用它而不是自己編寫所有內容？

3.）如果身份證書過期怎么辦？

作為游戲時的基本版本，我嘗試在不使用SCEP的情況下將自己的p12證書添加到Payload。

我嘗試在identity payloadcontent鍵中添加base64編碼的p12證書，如某些鏈接引用中所述。 我收到了一個錯誤

找不到“測試MDM配置文件”的身份證書

安裝配置文件時。

  identity_payload['PayloadType'] = 'com.apple.security.pkcs12'
  identity_payload['PayloadUUID'] = "RANDOM-UUID-STRING"
  identity_payload['PayloadVersion'] = 1
  identity_payload['PayloadContent'] = Base64.encode64(File.read "identity.p12")
  identity_payload['Password'] = 'p12Secret' 

當我檢查“配置文件密鑰引用”時 ，提到我應該發送數據中的Payload的二進制表示。 所以我試過，

  identity_payload['PayloadContent'] = ConvertToBinary(File.read "identity.p12")

我有，

證書“IdentityCertificate”的密碼不正確

我提供有效的密碼用於導出p12證書。

我究竟做錯了什么？

Answer 1

回答你的問題：

1）我是否需要維護映射到設備的身份證書的公鑰列表，以便以后可以使用它進行加密？

是。 你需要某種映射。 你可以做幾種方式：

• 只需將其存儲在DB中，即證書通用名稱和設備UDID之間的映射。
• 使CN包含UDID（我喜歡這種方法，因為它簡化了初始檢查）

正如您所指出的那樣，您需要使用公鑰來加密此設備的有效負載。

2）實現SCEP服務器的最佳方法是什么？ 是否有可靠的穩健方法可以采用它而不是自己編寫所有內容？

有SCEP的開源實現。 例如jSCEP有它（我用它）和EJBCA有它（我也使用它）。 我看到了其他實現（在Ruby等等）。 所以，你可以找到一個適合你的堆棧的東西。

3）您需要在消費之前更新身份證明（與任何其他證書相同）。

4）如果您的個人資料不起作用，我建議您在iPhone配置實用程序中創建相同的個人資料並與您的個人資料進行比較。 大多數情況下，你只錯過了一個標簽或類似的東西（如果不將它與工作標記進行比較，需要花費很多時間）。