1

我们正在尝试做的是为 iOS 的无线配置文件交付设置配置文件服务。我们正在按照 Apple 文档 (https://developer.apple.com/library/ios/#documentation/NetworkingInternet/Conceptual/iPhoneOTAConfiguration/Introduction/Introduction.html) 中指定的步骤进行操作

我们已经按照文档中的说明设置了我们的服务器,并为“/enroll”、“/profile”等指定了处理程序。我们目前停留的步骤是证书注册阶段(第 2 阶段)的第 3 步。我们的配置文件服务正在接收“GetCACert”请求,但配置文件的安装随后失败,并显示消息“来自注册机构的无效响应”。

当我们查看提供的示例 ruby​​ 代码时,来自上述同一站点,“/scep”的处理程序基本上返回 root_certificate 和 ra_certificate。但是,我们找不到太多关于 RA_Cert 的信息:它的用途是什么,它是如何生成的?

任何帮助,将不胜感激,

提前致谢,

4

2 回答 2

0

在示例脚本中,ra_cert 用作实际为设备颁发证书的证书颁发机构。

它从 ra_cert/ra_private.pem 文件加载初始化函数。如果它们尚不存在,则创建证书和密钥并使用根证书(它本身在脚本首次启动时生成)进行签名。

于 2013-01-22T14:10:09.323 回答
0

当您自己不是颁发返回证书的 CA 而是代表代表行事时,需要 RA 证书(技术上,两个证书/密钥对,一个用于签名,一个用于加密,但它们通常是相同的)它。

如果您是 CA,您可以使用 CA 证书对 SCEP 响应进行签名和加密。如果您是代表 CA 的 RA(您无权访问 CA 的私钥),您可以使用您的 RA 密钥进行签名和加密。

请注意,即使您可以访问 CA 的私钥,从安全角度来看,还是建议使用 RA,因为它可以最大限度地减少您的 CA 的私钥用于的操作,从而减少它的公开。

最后,请注意,在 GetCACert 调用中,如果您处于 RA 模式,则推荐的返回证书的顺序是首先是 RA 证书(签名和密码),然后是 CA。至少那是苹果前段时间我遇到同样问题时的建议。

于 2015-05-22T15:34:45.223 回答