OTA的三个阶段
阶段 1:通过简单的初始配置文件收集所需信息。
阶段 2:返回配置了 SCEP 有效负载的配置文件
阶段 3:返回带有 MDM 有效负载的配置文件
我有两个问题:
scep 和 mdm 需要在同一个域上吗?
我们如何从 scep 服务器获得控制权以执行阶段 3?我们是否需要配置 scep 以在证书交付后重定向?
问问题
4128 次
3 回答
4
您的 SCEP 可以很容易地成为另一个域上的服务器。我正在运行一个设置,我的设备通过我的本地 MDM 服务器注册,但从具有不同域(实际上位于另一个国家/地区)的另一台服务器上的 SCEP 服务器接收到身份证书。
设备从您的 SCEP 服务器成功接收到证书后,它将再次自动联系您的 MDM 服务器以完成注册。在我自己的情况下,我发现有必要将 MDM 有效负载与另一个 SCEP 有效负载打包,因为 MDM 有效负载具有强制性的 IdentityCertificateUUID 密钥。
我实际上是在尝试避免发送第二个 SCEP 有效负载,并且在寻找答案时偶然发现了您的问题。希望我的回答能对你有所帮助。
你读过苹果的iPhone OTA 配置文件吗?在实施过程中,这对我来说是非常宝贵的帮助,此外还有指向本文档中其他资源的链接。
于 2012-12-02T16:33:43.127 回答
2
不,他们没有,因为当将带有 SCEP 有效负载的配置文件返回到设备时,SCEP 服务器 URL 包含在有效负载中。
您不需要配置任何重定向。根据之前回答中提到的 iPhone OTA 配置文档,当设备完成 SCEP 注册时,它会向与第 2 阶段相同的 URL 发送请求,但这次它使用新获得的 SCEP 证书对请求进行签名。服务器验证请求的签名并了解该设备已完成 SCEP 注册并准备接收带有 MDM 有效负载的配置文件,因此服务器将其作为响应发送。总而言之,来自设备的 Phase 2 和 Phase 3 请求都发送到相同的 URL,但不同之处在于签署请求的证书: Phase 2 - Apple 颁发的设备证书 Phase 3 - SCEP 服务器颁发的证书
于 2012-12-04T05:00:46.697 回答
1
我很久以前就做过这个,但我可以说作为一个概述。请记住,在 SCEP 有效负载中,您已经提供了 MDM 服务器 url 。因此,一旦第二步(即 SCEP 注册)结束,设备将从有效负载中获取 MDM url,并将访问服务器。
请注意您在 SCEP 配置文件中提到的内容。
于 2012-12-04T06:37:46.543 回答