我搜索了很少有关于使用mobileconfig文件通过无线方式配置iPhone的任何网站,并且在某个阶段卡住了......:/ 这是我发现的: http://cryptopath.wordpress.com/2010/01/29/iphone-certificate-flaws/ 但这部分超出了我的理解
使用openssl smime和你从Verisign获得的P12,签名 mobileconfig文件包括完整的CA链并将其放入 公共HTTP服务器
如果我理解正确,我必须做的是:
1)从Verisign获得证书(基于key.pem得到它和从openssl生成的request.pem)
2)在iPhone配置实用程序中创建.mobileconfig文件(我是否必须填写其中的所有设置,或者只是拥有此文件?)
3)和......这个CA链是什么?
我也在这里找到了东西:http://www.rootmanager.com/iphone-ota-configuration/iphone-ota-setup-with-signed-mobileconfig.html
在这里,我也坚持使用这种连锁东西......有没有人知道,最好像我一样逐步解决这些问题? ;)(最需要显然是创建整个证书的解决方案,因为以后是相当直接的教程)
答案 0 :(得分:11)
CA链的基本概述:假设您拥有一个安全证书,声称您是example.com。但没有人会相信你。所以你得到了人们信任的人签名(上面例子中的Verisign)。现在,我相信您是example.com,因为Verisign通过签署您的证书来为您担保。
通常Verisign不会使用主“root”证书对其进行签名。相反,他们将使用二级CA对其进行签名,并且该二级CA由我信任的根证书签名。
这是一个证书链:您(example.com)由二级CA签名,由根CA签名。
因此,在向我提供证书时,您还需要提供整个链,以便我可以一直验证它,看看我是否真的信任您。
因此,以下命令将获取您的.mobileconfig文件并使用您的证书对其进行签名。只要你提供整个链条,我就会相信你的签名。
文件:
* company.mobileconfig< - 您的.mobileconfig文件
* signed.mobileconfig< - 命令完成后创建的签名文件
* server.crt< - 您从可信任的CA获得的证书
* server.key< - 您的私钥文件与上述证书一起使用(保持安全)
* cert-chain.crt< - 链中的任何证书,直至人们信任的顶级CA
命令:
openssl smime -sign -in company.mobileconfig -out signed.mobileconfig
-signer server.crt -inkey server.key -certfile cert-chain.crt
-outform der -nodetach