OTA中的三个阶段
阶段1:通过简单的初始配置文件收集所需信息。
阶段2:返回已配置SCEP有效负载的配置文件。
阶段3:返回已配置MDM有效负载的配置文件。
我有两个问题:
SCEP和MDM需要在同一个域上吗?
我们如何从SCEP服务器获取控制权以执行第三阶段?我们需要配置SCEP以在交付证书后重定向吗?
您的SCEP可以轻松成为另一个域上的服务器。我正在运行这样的设置,我的设备通过本地MDM服务器注册,但从位于另一个国家的不同域上的SCEP服务器接收了身份证书。
设备成功从您的SCEP服务器接收证书后,将自动再次联系您的MDM服务器以完成注册。在我的情况下,我发现需要将MDM有效负载与另一个SCEP有效负载一起打包,因为MDM有效负载具有强制性的IdentityCertificateUUID键。
我实际上正在尝试避免发送第二个SCEP有效负载,在寻找答案时偶然发现了您的问题。我希望我的答案能对您有所帮助。
您是否阅读过苹果公司的iPhone OTA配置文档?在实施过程中,它对我非常有帮助,并且该文档还链接到其他资源。
不需要,因为在将配置文件和SCEP有效载荷返回给设备时,SCEP服务器URL已包含在有效载荷中。
您不需要配置任何重定向。根据之前回答中提到的iPhone OTA配置文档,在设备完成SCEP注册后,它会向与第2阶段相同的URL发送请求,但这次它使用新获取的SCEP证书签署请求。服务器验证请求的签名并理解设备已完成SCEP注册并准备好接收具有MDM有效载荷的配置文件,因此服务器以响应方式发送该文件。总结一下,设备的第2阶段和第3阶段请求都发送到相同的URL,但不同之处在于请求签名的证书: 第2阶段-由Apple颁发的设备证书 第3阶段-SCEP服务器颁发的证书
我很久以前就做过这个,但我可以概述一下。请记住,在SCEP负载中,您必须提供MDM服务器URL。因此,一旦完成第二步即SCEP注册,设备将从负载中获取MDM URL并连接到服务器。
在SCEP配置文件中提到的内容要小心。