OTA中的三个阶段
阶段1:通过简单的初始配置文件收集所需信息。
阶段2:返回已配置SCEP有效负载的配置文件。
阶段3:返回已配置MDM有效负载的配置文件。
我有两个问题:
SCEP和MDM需要在同一个域上吗?
我们如何从SCEP服务器获取控制权以执行第三阶段?我们需要配置SCEP以在交付证书后重定向吗?
3个回答
4
您的SCEP可以轻松成为另一个域上的服务器。我正在运行这样的设置,我的设备通过本地MDM服务器注册,但从位于另一个国家的不同域上的SCEP服务器接收了身份证书。
设备成功从您的SCEP服务器接收证书后,将自动再次联系您的MDM服务器以完成注册。在我的情况下,我发现需要将MDM有效负载与另一个SCEP有效负载一起打包,因为MDM有效负载具有强制性的IdentityCertificateUUID键。
我实际上正在尝试避免发送第二个SCEP有效负载,在寻找答案时偶然发现了您的问题。我希望我的答案能对您有所帮助。
您是否阅读过苹果公司的iPhone OTA配置文档?在实施过程中,它对我非常有帮助,并且该文档还链接到其他资源。
- Thomas Bindzus
5
嗨,Thomas,你有没有开源实现的机会?我正在寻找示例代码以更清楚地了解协议。谢谢! - Vrashabh Irde
嘿,Slartibartfast,我不能这样做,因为这个实现是为我们的一个客户制作的。你读过这个吗:Schuetz - Inside Apple MDM - Thomas Bindzus
谢谢您的评论,我已经看到了。希望能够了解是否有人在Ruby中使用配置文件管理器代码创建了可重用的MDM服务器 :) 如果可以的话,我不想重新发明轮子。 - Vrashabh Irde
很高兴看到你的回答:我也在尝试找到避免两个SCEP负载的方法,在我的搜索中偶然发现了这个页面!你有没有想出只使用一个SCEP调用来完成它的方法?或者你只是在第二个证书生成后丢弃第一个证书? - Mark Whitaker
1嘿,马克,好久没看我们的解决方案了,但我不记得只使用一个SCEP调用就成功过,正如Maksym的答案中所提到的那样,它们是不同的。 - Thomas Bindzus
2
不需要,因为在将配置文件和SCEP有效载荷返回给设备时,SCEP服务器URL已包含在有效载荷中。
您不需要配置任何重定向。根据之前回答中提到的iPhone OTA配置文档,在设备完成SCEP注册后,它会向与第2阶段相同的URL发送请求,但这次它使用新获取的SCEP证书签署请求。服务器验证请求的签名并理解设备已完成SCEP注册并准备好接收具有MDM有效载荷的配置文件,因此服务器以响应方式发送该文件。总结一下,设备的第2阶段和第3阶段请求都发送到相同的URL,但不同之处在于请求签名的证书: 第2阶段-由Apple颁发的设备证书 第3阶段-SCEP服务器颁发的证书
- Maksym Govorischev
1
我很久以前就做过这个,但我可以概述一下。请记住,在SCEP负载中,您必须提供MDM服务器URL。因此,一旦完成第二步即SCEP注册,设备将从负载中获取MDM URL并连接到服务器。
在SCEP配置文件中提到的内容要小心。
- Cyril
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接