MDM：安装配置文件后证书无效答案

【问题标题】：MDM:Certificate invalidated after installing profileMDM：安装配置文件后证书无效
【发布时间】：2012-05-08 04:35:49
【问题描述】：

我们有一个有效的 MDM 解决方案，可以在其中注册设备和安装配置文件。但是，由于 iOS 5 客户报告我们使用的自签名证书在设备上报告为不受信任。在 iOS 4 上安装了证书和配置文件的用户报告说，当他们升级到 iOS 5 时看起来是正确的，只要他们不重新注册。

我已经能够重现这一点并进行了以下屏幕转储。

首先我安装所需的 MDM 根证书。安装后，根证书似乎是受信任的，查看详细信息，一切看起来都是正确的。

接下来我要做的是安装配置文件。起初，配置文件似乎已验证，我继续安装它。安装完成后，不再验证配置文件，而是报告为未签名。

然后我回到根证书，现在证书不再受信任。如果我单击查看详细信息，则有关证书的所有信息都消失了。

注册完成后，我们可以在设备上安装和删除配置文件，但是我们会看到有关证书不受信任和配置文件未签名的警告

如果我选择重新安装根证书，我可以这样做，然后我会返回详细信息、报告为受信任的证书和经过验证的配置文件。

我查看了我们的 SCEP 实施，试图找出问题所在，但没有成功。每当我更改返回到设备的内容时，设备都会向我报告它收到的内容无效。这让我觉得我们发送的内容实际上是正确的，因为设备会在出现问题时报告。

有没有人遇到过这样的问题，或者你有可能的解释？

编辑

也许有人知道自签名证书应该是什么类型？下面的屏幕截图中使用的是 x500 v1。如果我创建一个 X509 v3（有或没有扩展）iOS 设备无论如何都不信任它。

【问题讨论】：

注册时 iPhone 控制台日志（可从 iPhone 配置实用程序查看）报告什么？
用户报告说这在 iOS4 上可以正常工作，我自己也试过了。如果我使用运行 iOS4 的设备重复完全相同的过程，一切都会完美无缺。 iPhoneCA 证书仍然受信任，并且配置文件已经过验证。另外，如果我重新安装 iPhoneCA 证书，一切看起来都是正确的。

【解决方案1】：

我发现问题出在我们的自签名证书上，但我不得不绕道而行，使用由另一个机构签名的证书。这提出了一些问题，因为我只需更改证书就可以使完全相同的代码工作。

所有截图所描述的结果实际上只是令人困惑，因为证书一开始似乎是有效的。

最后我意识到自签名证书的签名方式是问题所在。结果它实际上并没有与自己签名，它只是被创建然后使用。

【讨论】：

【解决方案2】：

如果您仍然面临问题，请检查您是否使用身份。p12 是正确的。您正在使用的服务器应该存在。请仔细参考MDM_Protocol pdf文档，this_page和this。

【讨论】：

【解决方案3】：

您在配置文件中提供的服务器 url 不是有效的 ssl 连接，这似乎是问题所在。您需要将服务器 url 连接设为有效的受信任 ssl url。当您安装配置文件时，它会触发您的服务器并因此获取无效/不受信任的服务器 url。

【讨论】：

我相信服务器 URL 是有效的。它有一个由 RapidSSL 签名的证书，Chrome 和 Safari 都喜欢它。从我的第二个和第六个 iPhone 屏幕截图中也可以看出，证书和配置文件都是受信任和经过验证的。重新安装根证书会使所有内容都处于“绿色状态”，标记配置文件已验证。
我为 MDM 生成了推送证书。它有一个有效的主题/主题。在钥匙串商店中查看时，它显示“此证书由未知机构签名”。也没有与之关联的私钥。知道有什么问题吗？
服务器上的 ssl 证书似乎已过期或由当地权威机构签署，而不是由 Godaddy 等有效供应商签署。

【解决方案4】：

MDM 服务器必须使用有效的 SSL 证书在 https 上。这是拥有自签名 ssl 证书的简单问题。请使用有效证书。

【讨论】：

瓦伦，感谢您的回复。我在我的 https 连接上使用来自已知 CA 的证书。 SCEP 中使用的证书是自签名的。为什么这会是个问题？如您所见，我开始信任此自签名证书。
APNS 服务器不信任自签名证书，但因为您的连接在有效证书上。它对我来说看起来不错。但是由于自签名证书而出现此问题。请重新检查。