4

将设备升级到 iOS 6 后,由 MDM 服务安装的配置文件显示为“未验证”。这些配置文件在推送到设备之前由 AddTrust 颁发的 InCommon 证书签名。在升级之前,它们显示为“已验证”。有什么想法可能导致这种情况吗?

4

5 回答 5

3

我遇到了完全相同的问题,因此它可能是 iOS 配置文件系统中的一个错误,因为浏览器信任相同的 SSL 证书。注意:我们的证书是“*.host.org”类型的。

于 2012-09-24T13:14:04.993 回答
2

这可能是您购买的证书提供商的证书链中不受信任的 CA。看起来某些 CA 在 iOS6 中不受信任或缺失。我遇到了同样的问题,并将整个证书链包含在我们的证书签名包中,问题就解决了。建议您向您的证书提供商打开一个支持案例,看看它是否是一个已知问题,或者四处寻找,看看您是否可以找到 iOS6 中使用的受信任 CA 列表 - 我找不到。将设备同步到 iTunes 也可能会刷新 CA 列表,但这一次对我不起作用。

于 2012-09-21T18:24:06.390 回答
2

在 pkcs7_sign 调用中包含中间证书(在我的例子中是 php openssl_pkcs7_sign())解决了这个问题。

于 2012-09-28T18:09:07.907 回答
2

我和你的问题完全一样。我的链是 GeoTrust -> RapidSSL -> MyCert。我已经在我的 .crt 中包含了完整的链,但是当我尝试安装配置文件时它仍然显示“未验证”。

我不知道如何插入整个路径。

我使用 openssl 命令签署我的文件:

openssl smime -sign -signer #{crt_path} -inkey #{private_key_path} -nodetach -outform der -in #{file_to_sign_path} -out #{file_signed_pa​​th}

我的 crt_path 是一个 .crt 文件,包括三个证书。

编辑 我发现了我的 openssl 命令的问题。我的完整链在 #{crt_path} 中,但没有被命令使用。我添加了 *-certfile #{crt_path}* 并且一切正常!

于 2012-09-27T09:35:52.957 回答
1

是的!添加整个路径(-root)就可以了。

验证 MDM SW 创建的签名是否确实包含路径。因为之前不需要...

于 2012-09-24T19:42:57.793 回答