所以我设置了 SCEP 服务器来生成一个 iOS 身份证书,它只在短时间内有效。当它过期时,配置文件会显示“此配置文件已过期。更新此配置文件以获得较新版本”,并显示一个“更新配置文件”按钮。
但是单击此按钮只会告诉我“无法更新配置文件。请联系您的网络管理员”。没有尝试联系 MDM 服务或 SCEP 服务,并且日志中没有任何 MDM 活动或错误的指示。
再次注册设备可以正常工作,因此我不怀疑致电网络管理员实际上是一种解决方案。那么如何更新过期的 MDM 配置文件?
【问题讨论】:
我在 iOS 6.1.3 上的配置文件更新接近证书到期时遇到问题,但在 iOS 7 上一切正常。 证书到期日期低于 14 天后,MDM 配置文件上会出现配置文件更新按钮。配置文件的状态始终是“配置文件已过期”,因此 Apple 文档不正确,状态永远不会“即将过期”。 在 iOS 7 上,我可以更新配置文件,它实际上会自动进行新注册。 在 iOS 6.1.3 上,总是出现错误“无法更新配置文件。请联系您的网络管理员”,并且设备没有任何网络活动的痕迹。
有什么想法吗?
谢谢,
老鼠
【讨论】:
一年多以前,我与 MDM 合作过。所以,我可能对一些细节有误。
这是我记得的:
a) 设备为 OTA MDM 执行两次 SCEP 调用。
看看这个diagram
第一次 SCEP 调用是作为 OTA 证书注册的一部分完成的(图中的第 2 阶段)
当 OTA 交付带有 MDM 和 SCEP 有效负载的配置文件时,第二次 SCEP 调用完成(如图中的第 3 阶段)。
从您的问题中不明显的一件事是哪个 iOS 识别证书是短暂的。
b) 如果您的 MDM 身份已过期,您将停止接收所有 MDM 命令。
c) 如果您的 OTA 身份已过期,您将无法升级您通过无线方式交付的任何配置(例如 MDM)。
如果您有权访问 Apple Enterprise Developer Program,则可以在其中找到 MDM 文档。它会说如果您进行了 OTA MDM,则需要在 即将到期时更新它。
我记得,如果您的 OTA + MDM 已过期,那么您就完蛋了(除了重新注册,您别无选择)。
顺便说一句。我相信让这些身份长期存在是一种常见的做法(正是因为这些问题)。
如果您担心无法阻止某人接收更新,您可以随时:
【讨论】: