Tôi có một số câu hỏi liên quan đến Chứng chỉ danh tính trong Tải trọng tiểu sử.Chứng chỉ nhận dạng - IOS MDM
Hãy tha thứ cho sự thiếu hiểu biết, nếu một số câu hỏi là cơ bản.
1.) Tôi thấy rằng, chúng tôi có thể sử dụng chứng chỉ SCEP chuẩn hoặc chứng chỉ PKCS12 trực tiếp để nhận dạng thiết bị. SCEP được khuyến nghị, vì khóa riêng sẽ chỉ được biết cho thiết bị. Vì vậy, trong trường hợp Nếu tôi sẽ triển khai máy chủ SCEP, tôi có cần duy trì danh sách Khóa công khai của chứng chỉ nhận dạng được ánh xạ tới thiết bị để tôi có thể sử dụng nó sau này để mã hóa không?
2.) Cách tốt nhất có thể để triển khai máy chủ SCEP là gì? Có phương pháp mạnh mẽ đáng tin cậy nào có sẵn để áp dụng nó thay vì viết mọi thứ theo cách riêng của chúng tôi không?
3.) Điều gì xảy ra nếu chứng chỉ nhận dạng hết hạn?
Là phiên bản cơ bản trong khi chơi xung quanh, tôi đã cố gắng thêm chứng chỉ p12 của riêng mình vào Tải trọng mà không sử dụng SCEP.
Tôi đã cố thêm chứng chỉ p12 được mã hóa base64 vào khóa nội dung tải trọng danh tính, như được đề cập trong một số tham chiếu liên kết. Tôi đã nhận ra lỗi
Giấy chứng nhận danh tính cho “Test MDM hồ sơ” không thể tìm được
khi cài đặt profile.
identity_payload['PayloadType'] = 'com.apple.security.pkcs12'
identity_payload['PayloadUUID'] = "RANDOM-UUID-STRING"
identity_payload['PayloadVersion'] = 1
identity_payload['PayloadContent'] = Base64.encode64(File.read "identity.p12")
identity_payload['Password'] = 'p12Secret'
Khi tôi kiểm tra 'Configuration Profile key reference', tôi đã đề cập rằng tôi nên gửi biểu diễn nhị phân của Tải trọng trong dữ liệu. Vì vậy, tôi cố gắng,
identity_payload['PayloadContent'] = ConvertToBinary(File.read "identity.p12")
tôi,
Mật khẩu cho giấy chứng nhận “IdentityCertificate” là không chính xác
tôi đang cung cấp mật khẩu hợp lệ cho xuất khẩu giấy chứng nhận p12.
Tôi đang làm gì sai?
"Tạo CN chứa UDID", Nếu chúng ta tạo CSR và gửi nó như là một container P12 trong tải trọng, có thể xác định CN của chính chúng ta. Nhưng theo cách SCEP, thiết bị sẽ tạo CSR đúng không? Vậy làm thế nào chúng ta có thể làm cho văn bản mong muốn của mình như CN? – BinaryMee
2) Cảm ơn bạn đã tham khảo. Tôi sẽ sử dụng một số CA đáng tin cậy để ký. Có thể có chứng chỉ CA đó với chúng tôi và sử dụng nó để ký giấy chứng nhận trong pkioperation từ một thiết bị đến máy chủ SCEP của chúng tôi không? 3) Bạn có thể vui lòng xây dựng quy trình gia hạn chứng chỉ không? Yêu cầu gia hạn sẽ được gửi đến máy chủ SCEP từ thiết bị? – BinaryMee
4) Tôi đã tạo giống nhau trong IPCU và tất cả các thẻ gần như giống nhau. Chứng chỉ IPCU được tạo đã được cài đặt đúng cách. Sau đó, tôi nhận thấy rằng các dữ liệu trong PayloadContent của phần nhận dạng là khác nhau. Tôi chỉ trích xuất trực tiếp chứng chỉ p12 và sử dụng nhị phân của nó. Tôi không chắc chắn những gì đã đi sai.FYI, IPCU không còn nữa. :) – BinaryMee