为 iOS 无线配置文件交付设置 Apple 配置文件服务

Question

我们正在尝试做的是为 iOS 无线配置文件交付设置配置文件服务。 我们遵循 Apple 文档 (https://developer.apple.com/library/ios/#documentation/NetworkingInternet/Conceptual/iPhoneOTAConfiguration/Introduction/Introduction.html) 中指定的步骤

我们已经按照文档中的说明设置了我们的服务器，并为“/enroll”、“/profile”等指定了处理程序。 我们目前停留的步骤是证书注册阶段（第 2 阶段）的第 3 步。我们的配置文件服务正在接收“GetCACert”请求，但配置文件的安装随后失败，并显示消息“注册机构的响应无效。”

当我们查看提供的示例 ruby​​ 代码时，来自上述同一站点，“/scep”的处理程序基本上返回 root_certificate 和 ra_certificate。但是，我们找不到太多关于 RA_Cert 的信息：它的用途是什么，它是如何生成的？

任何帮助将不胜感激，

提前致谢，

Answer 1

在示例脚本中，ra_cert 用作实际为设备颁发证书的证书颁发机构。

它是从 ra_cert/ra_private.pem 文件加载的 init 函数。如果它们尚不存在，则创建证书和密钥并使用根证书（它本身在脚本首次启动时生成）进行签名。

Answer 2

当您自己不是颁发返回证书的 CA，但正在执行时，需要 RA 证书（技术上，两个证书/密钥对，一个用于签名，一个用于加密，但它们通常是相同的）代表它。

如果您是 CA，您可以使用 CA 证书对 SCEP 响应进行签名和加密。如果您是代表 CA 的 RA（您无权访问 CA 的私钥），您可以使用您的 RA 密钥进行签名和加密。

请注意，即使您可以访问 CA 的私钥，从安全角度来看，还是建议使用 RA，因为它可以最大限度地减少您的 CA 的私钥用于的操作，从而减少暴露。

最后，请注意，在 GetCACert 调用中，如果您处于 RA 模式，则返回证书的推荐顺序是首先是 RA 证书（签名和密码），然后是 CA。至少那是前段时间我遇到同样问题时 Apple 的建议。