我正在构建一个IOS MDM Server。我已经实现了SCEP服务器来处理GetCACert,GetCACaps和PKIOperation。
我已签发身份证明书,有效期为3年。我稍后将使用颁发的公共身份证书来验证MDM签名和加密。
现在我的问题是,
问题1:如果我的身份证明书在3年后到期,我该怎么办?如何在到期前更新?
出于测试目的,我从我的SCEP服务器发出了过期的身份证书。我正在this question中提到Update Profile选项。
但问题是,
问题2:此流程是否可以自动化?如果配置文件中的任何证书即将过期,而不是等待用户调用的更新过程,我们应该自动执行此操作吗?
问题3:另一个有趣的事情是,即使在身份证书过期后,我也能够发送使用过期证书加密的远程管理命令。设备还使用相应的私钥对其进行解密,并且命令已成功执行。我在这里错过了什么吗?如果过期的证书有效,那么更新它的重点是什么?如果我错了,请纠正我。
答案 0 :(得分:2)
如果我的身份证明书在3年后到期,我该怎么办?如何在到期前续订?
您应该在到期前续签证书。如果未删除,则配置文件将变为红色,您将获得Update profile选项。通过单击Update Profile选项,设备会向配置文件URL发送HTTP请求。作为响应,您可以重新发布Profile以及SCEP有效负载以生成新的身份证书。
所有这些事情只有在手动点击“更新个人资料”选项后才会发生。这个过程有什么办法可以自动化吗?如果配置文件中的任何证书即将过期,而不是等待用户调用的更新过程,我们应该自动执行此操作吗?
你可以。在证书到期之前(您应该能够识别将在MDM服务器中过期的身份证书,因为应该维护这些证书以供以后加密和签名验证),您可以将InstallProfile命令发送到具有更新的设备轮廓。有效负载可以具有MDM,SCEP有效负载。请注意,您无法更改主题,ServerURL,CheckinURL和升级访问权限。
由于发送了SCEP有效负载,证书注册过程将再次启动,您可以颁发具有新有效性的证书。
另一个有趣的事情是,即使在身份证书过期后,我也能够发送使用过期证书加密的远程管理命令。
请参考this question。您可以使用过期的证书加密数据。如果证书过期,私钥可能会被放弃或泄露。因此,如果不想使用公钥对被遗弃或受损的私钥,那么即将接受证书的客户应验证其到期日期。此处客户端是MDM Server,私钥所有者是Device。也许设备的私钥无论如何都不能被抛弃。所以解密工作正常。