Chứng chỉ nhận dạng - IOS MDM

Question

Tôi có một số câu hỏi liên quan đến Chứng chỉ danh tính trong Tải trọng tiểu sử.

Hãy tha thứ cho sự thiếu hiểu biết, nếu một số câu hỏi là cơ bản.

1.) Tôi thấy rằng, chúng tôi có thể sử dụng chứng chỉ SCEP chuẩn hoặc chứng chỉ PKCS12 trực tiếp để nhận dạng thiết bị. SCEP được khuyến nghị, vì khóa riêng sẽ chỉ được biết cho thiết bị. Vì vậy, trong trường hợp Nếu tôi sẽ triển khai máy chủ SCEP, tôi có cần duy trì danh sách Khóa công khai của chứng chỉ nhận dạng được ánh xạ tới thiết bị để tôi có thể sử dụng nó sau này để mã hóa không?

2.) Cách tốt nhất có thể để triển khai máy chủ SCEP là gì? Có phương pháp mạnh mẽ đáng tin cậy nào có sẵn để áp dụng nó thay vì viết mọi thứ theo cách riêng của chúng tôi không?

3.) Điều gì xảy ra nếu chứng chỉ nhận dạng hết hạn?

Là phiên bản cơ bản trong khi chơi xung quanh, tôi đã cố gắng thêm chứng chỉ p12 của riêng mình vào Tải trọng mà không sử dụng SCEP.

Tôi đã cố thêm chứng chỉ p12 được mã hóa base64 vào khóa nội dung tải trọng danh tính, như được đề cập trong một số tham chiếu liên kết. Tôi đã nhận ra lỗi

Giấy chứng nhận danh tính cho “Test MDM hồ sơ” không thể tìm được

khi cài đặt profile.

identity_payload['PayloadType'] = 'com.apple.security.pkcs12' 
    identity_payload['PayloadUUID'] = "RANDOM-UUID-STRING" 
    identity_payload['PayloadVersion'] = 1 
    identity_payload['PayloadContent'] = Base64.encode64(File.read "identity.p12") 
    identity_payload['Password'] = 'p12Secret' 

Khi tôi kiểm tra 'Configuration Profile key reference', tôi đã đề cập rằng tôi nên gửi biểu diễn nhị phân của Tải trọng trong dữ liệu. Vì vậy, tôi cố gắng,

identity_payload['PayloadContent'] = ConvertToBinary(File.read "identity.p12") 

tôi,

Mật khẩu cho giấy chứng nhận “IdentityCertificate” là không chính xác

tôi đang cung cấp mật khẩu hợp lệ cho xuất khẩu giấy chứng nhận p12.

Tôi đang làm gì sai?

Answer 1

Trả lời câu hỏi của bạn:

1) Tôi có cần phải duy trì danh sách các khóa công khai giấy chứng nhận nhận dạng ánh xạ tới các thiết bị, vì vậy mà tôi có thể sử dụng nó sau này để mã hóa?

Có. Bạn cần một số loại ánh xạ. Bạn có thể thực hiện một vài cách:

• Chỉ lưu trữ nó trong DB ánh xạ giữa tên chứng chỉ và tên UDID thiết bị.
• Hãy CN chứa UDID (Tôi thích phương pháp này, bởi vì nó đơn giản kiểm tra ban đầu)

Và như bạn chỉ ra bạn sẽ cần khóa công khai để mã hóa trọng tải cho thiết bị này.

2) Cách tốt nhất có thể để triển khai máy chủ SCEP là gì?Có phương pháp mạnh mẽ đáng tin cậy nào có sẵn để áp dụng nó thay vì viết mọi thứ theo cách riêng của chúng tôi không?

Có triển khai mã nguồn mở của SCEP. Ví dụ jSCEP có nó (tôi đã sử dụng nó) và EJBCA có nó (tôi đã sử dụng nó quá). Tôi thấy thực hiện khác (trong Ruby và vv). Vì vậy, bạn có thể tìm thấy một cái gì đó chọn mà làm việc với ngăn xếp của bạn.

3) Bạn cần gia hạn chứng chỉ nhận dạng trước khi xuất bản (giống như cách đối với bất kỳ chứng chỉ nào khác).

4) Nếu hồ sơ của bạn không hoạt động, tôi khuyên bạn nên tạo cùng một cấu hình trong Tiện ích cấu hình iPhone và so sánh với cấu hình của bạn. Hầu hết thời gian, bạn đã bỏ lỡ chỉ một thẻ hoặc một cái gì đó như thế (nó sẽ mất rất nhiều để tìm ra nó mà không cần so sánh nó với một trong những làm việc).