OTA中的三个阶段
阶段1:通过简单的初始配置文件收集所需信息。
阶段2:返回配置了SCEP有效负载的配置文件
阶段3:返回具有MDM有效负载的配置文件
我有两个问题:
scep和mdm是否需要在同一个域上?
我们如何从scep服务器获取控制权来执行phase3?一旦交付证书,我们是否需要配置scep以重定向?
答案 0 :(得分:4)
您的SCEP可以很容易地成为另一个域上的服务器。我正在运行我的设备通过本地MDM服务器注册的设置,但是从另一台具有不同域(实际位于另一个国家/地区)的服务器上的SCEP服务器收到了身份证书。
设备成功从SCEP服务器收到证书后,它将自动再次联系您的MDM服务器以完成注册。在我自己的情况下,我发现有必要将MDM有效负载与另一个SCEP有效负载打包,因为MDM有效负载具有强制IdentityCertificateUUID密钥。
我实际上是在试图避免发送第二个SCEP有效载荷,在寻找答案时我偶然发现了你的问题。我希望我的答案对你有所帮助。
你读过Apple的iPhone OTA Configuration document吗?在实施过程中,这对我来说是非常宝贵的帮助,此外还有与本文档中其他资源的链接。
答案 1 :(得分:2)
不,他们没有,因为在将带有SCEP有效负载的配置文件返回给设备时,SCEP服务器URL包含在有效负载中。
您无需配置任何重定向。根据上一个答案中提到的iPhone OTA配置文档,当设备完成SCEP注册时,它会向第2阶段中的相同URL发送请求,但这次它使用新获得的SCEP证书签署请求。服务器验证请求的签名并理解该设备已完成SCEP注册并准备接收具有MDM有效负载的配置文件,因此服务器将其作为响应发送。总而言之,来自设备的阶段2和阶段3请求都被发送到相同的URL,但不同之处在于签署请求的证书: 第2阶段 - Apple发布的设备证书 阶段3 - SCEP服务器颁发证书
答案 2 :(得分:1)
我做了这么久,但我可以作为一个概述。请记住,在SCEP有效负载中,您已经提供了MDM服务器URL。因此,一旦第二步即SCEP注册结束,设备将从有效负载中获取MDM URL,它将命中到服务器。
请注意您在SCEP配置文件中提到的内容。