为iOS Over-the-Air-Profile Delivery设置Apple Profile Service

时间:2013-01-22 05:45:58

标签: ios provisioning-profile mdm

我们要做的是为iOS设置Over-the-Air Profile Delivery的配置文件服务。 我们按照苹果文档(https://developer.apple.com/library/ios/#documentation/NetworkingInternet/Conceptual/iPhoneOTAConfiguration/Introduction/Introduction.html)中指定的步骤进行操作

我们已经按照文档中的规定设置了我们的服务器,并为“/ enroll”,“/ profile”等指定了处理程序。 我们目前坚持的步骤是证书注册阶段(第2阶段)的第3步。我们的个人资料服务正在接收“GetCACert”请求,但随后安装配置文件失败,并显示消息“注册机构的响应无效。”

当我们查看提供的示例ruby代码时,来自同一个上面的站点,“/ scep”的处理程序基本上返回root_certificate和ra_certificate。但是,我们找不到有关RA_Cert的更多信息:它用于什么,以及它是如何生成的?

任何帮助将不胜感激,

提前致谢,

2 个答案:

答案 0 :(得分:0)

在示例脚本中,ra_cert用作实际颁发设备证书的证书颁发机构。

从ra_cert / ra_private.pem文件加载init-function。如果它们尚不存在,则创建证书和密钥并使用根证书进行签名(根证书本身是在首次启动脚本时生成的)。

答案 1 :(得分:0)

RA证书(技术上,两个证书/密钥对,一个用于签名,一个用于加密,但它们通常是相同的),当您自己不是颁发退回证书的CA但是正在行动时,则需要代表它。

如果您是CA,则使用CA证书对SCEP响应进行签名和加密。如果您是代表CA的RA(您无法访问CA的私钥),则使用RA密钥对其进行签名和加密。

请注意,即使您有权访问CA的私钥,从安全角度来看也建议使用RA,因为它可以最大限度地减少CA的私钥操作,从而暴露出来它少了。

最后,请注意,在GetCACert调用中,如果您处于RA模式,则返回证书的建议顺序是RA证书(签名和密码),然后是CA.至少那是前一段时间Apple的推荐,当时我遇到了同样的问题。