用于与 iPhone 设备进行 SSL 握手的 MDM 服务器证书答案

【问题标题】：MDM Server certificate to be used for SSL handshake with iPhone device用于与 iPhone 设备进行 SSL 握手的 MDM 服务器证书
【发布时间】：2012-06-05 13:15:26
【问题描述】：

我正在尝试在 iPhone 设备和我的 MDM 服务器之间执行 SSL 握手。我使用了 iPhone 配置实用程序 (iPCU) 并配置了 SCEP 和 MDM。 SCEP 工作正常，设备收到 CA 颁发的证书。

在MDM Payload中，我使用了主题中APNS证书的主题，并输入了1234端口的服务器IP。作为身份，我使用了SCEP证书的身份。

iPhone 生成密钥并成功注册，但是当它尝试通过联系 MDM 服务器安装配置文件时，我在 IPCU 控制台中收到此错误： https://[IP here]:1234 的服务器证书无效

在我使用 C#.NET 编程的 MDM Server 应用程序中，抱怨 AuthenticationException:the SSPI has failed because the context has expired and can no longer be used. 所以我的问题是，应该使用什么证书我的 MDM 服务器上有 - 是从 iOS 配置门户收到的 MDM 证书、客户的 Apple 推送证书还是 SCEP 服务器的证书？

如果有人能回答这个问题，我将不胜感激，因为我已经花了几个小时但我无法弄清楚。

【问题讨论】：

您是否在您的网络服务器上使用自签名证书？
你有没有机会开源 MDM 代码？

标签： ios x509certificate mdm

【解决方案1】：

当 iOS 设备向您的 MDM 服务注册时，它需要知道它正在与正确的服务器通信。您的 MDM 服务器的 SSL 证书可以帮助它做到这一点。此证书与其他 Web 服务证书一样，其 CN（通用名称）将使用 iOS 设备用于注册 MDM 服务的 URL 中的名称。例如，如果 MDM 注册 URL 是 https://mymdmservice.mydomain.com，则 CN 将是 mymdmservice.mydomain.com。

移动设备需要识别 MDM 服务的证书签名链。特别是，您可以使用由通常的注册商之一（例如 Verisign 或 Comodo）颁发的任何证书。

您可以使用自签名证书，但您必须将其添加到设备的受信任根证书存储区（请参阅http://fixmyitsystem.com/2012/01/install-corporate-pki-root-ca-on-ios.html）。

【讨论】：

它仍然不信任我在 iphone 上的证书
我应该在这个阶段为客户使用 APNS 证书吗？
当您希望由 MDM 服务管理的设备签入时，您可以通过 Apple 的推送通知服务（因此称为“APNS”）向其发送通知。 Apple 向您颁发的 APNS 证书确保只有您可以向您的应用程序发送通知。简而言之，就是在你的 MDM 服务和 APNS 服务之间使用了 APNS 证书；客户端设备不会直接看到证书。另见developer.apple.com/library/mac/#documentation/…
有什么突破吗？我也试图在 ios 客户端进行 ssl 握手，但还没有成功。有人可以指导我查看详细的教程或一些示例。我在应用程序包中的 ios 客户端有 CA 证书。当我使用 https 请求访问服务器时，我收到了身份验证挑战，那时我需要通过使用客户端证书验证服务器证书来启动 ssl 握手......请告知:(
您的问题可以通过使用 NDES 自动向您的设备颁发证书来简化。