OTA的三个阶段
阶段 1:通过简单的初始配置文件收集所需信息。
阶段 2:返回配置了 SCEP 有效负载的配置文件
阶段 3:返回带有 MDM 有效负载的配置文件
我有两个问题:
scep 和 mdm 需要在同一个域上吗?
我们如何从 scep 服务器获得控制权以执行阶段 3?我们是否需要配置 scep 以在证书交付后重定向?
您的 SCEP 可以很容易地成为另一个域上的服务器。我正在运行一个设置,我的设备通过我的本地 MDM 服务器注册,但从具有不同域(实际上位于另一个国家/地区)的另一台服务器上的 SCEP 服务器接收到身份证书。
设备从您的 SCEP 服务器成功接收到证书后,它将再次自动联系您的 MDM 服务器以完成注册。在我自己的情况下,我发现有必要将 MDM 有效负载与另一个 SCEP 有效负载打包,因为 MDM 有效负载具有强制性的 IdentityCertificateUUID 密钥。
我实际上是在尝试避免发送第二个 SCEP 有效负载,并且在寻找答案时偶然发现了您的问题。希望我的回答能对你有所帮助。
你读过苹果的iPhone OTA 配置文件吗?在实施过程中,这对我来说是非常宝贵的帮助,此外还有指向本文档中其他资源的链接。
不,他们没有,因为当将带有 SCEP 有效负载的配置文件返回到设备时,SCEP 服务器 URL 包含在有效负载中。
您不需要配置任何重定向。根据之前回答中提到的 iPhone OTA 配置文档,当设备完成 SCEP 注册时,它会向与第 2 阶段相同的 URL 发送请求,但这次它使用新获得的 SCEP 证书对请求进行签名。服务器验证请求的签名并了解该设备已完成 SCEP 注册并准备接收带有 MDM 有效负载的配置文件,因此服务器将其作为响应发送。总而言之,来自设备的 Phase 2 和 Phase 3 请求都发送到相同的 URL,但不同之处在于签署请求的证书: Phase 2 - Apple 颁发的设备证书 Phase 3 - SCEP 服务器颁发的证书
我很久以前就做过这个,但我可以说作为一个概述。请记住,在 SCEP 有效负载中,您已经提供了 MDM 服务器 url 。因此,一旦第二步(即 SCEP 注册)结束,设备将从有效负载中获取 MDM url,并将访问服务器。
请注意您在 SCEP 配置文件中提到的内容。