【发布时间】:2012-09-19 21:19:16
【问题描述】:
将设备升级到 iOS 6 后,由 MDM 服务安装的配置文件显示为“未验证”。这些配置文件在推送到设备之前由 AddTrust 颁发的 InCommon 证书签名。在升级之前,它们显示为“已验证”。有什么想法可能导致这种情况吗?
【问题讨论】:
标签: certificate mdm profiles
【发布时间】:2012-09-19 21:19:16
【问题描述】:
我遇到了完全相同的问题,因此这可能是 iOS 配置文件系统中的一个错误,因为浏览器信任相同的 SSL 证书。注意:我们的证书是“*.host.org”类型的。
【讨论】:
-
没错。我向 Apple 提交了请求,但没有收到任何回复。
这可能是您购买的证书提供商的证书链中不受信任的 CA。看起来某些 CA 在 iOS6 中不受信任或缺失。我遇到了同样的问题,并将整个证书链包含在我们的证书签名包中,问题就解决了。 建议您向您的证书提供商打开一个支持案例,看看它是否是一个已知问题,或者四处寻找,看看您是否可以找到 iOS6 中使用的受信任 CA 列表 - 我找不到。将设备同步到 iTunes 也可能会刷新 CA 列表,但这一次对我不起作用。
【讨论】:
我和你的问题一模一样。 我的链是 GeoTrust -> RapidSSL -> MyCert。我已经在我的 .crt 中包含了完整的链,但是当我尝试安装配置文件时它仍然显示“未验证”。
我不知道如何插入整个路径。
我使用 openssl 命令签署我的文件:
openssl smime -sign -signer #{crt_path} -inkey #{private_key_path} -nodetach -outform der -in #{file_to_sign_path} -out #{file_signed_path}
我的crt_path是一个.crt文件,包括三个证书。
编辑 我发现了我的 openssl 命令的问题。我的完整链在 #{crt_path} 中,但没有被命令使用。我添加了 *-certfile #{crt_path}* 并且一切正常!
【讨论】:
在 pkcs7_sign 调用中包含中间证书(在我的例子中是 php openssl_pkcs7_sign())解决了这个问题。
【讨论】:
是的!添加整个路径 (-root) 就可以了。
验证由 MDM SW 创建的签名确实包含路径。由于之前不需要它...
【讨论】: