我正在尝试使用配置文件进行试验,为了做到这一点,我从使用 SCEP 的 Apple Profile Manager 应用程序创建的文件开始。当我获取 .mobileconfig 文件并在设备上安装(使用 Apple Configurator 2)时,它可以正常安装,没有任何问题。
但是,我注意到,如果我修改此配置文件中的任何内容(即使是像“PayloadDisplayName”这样的次要内容),注册过程也会结束,但最终会因以下错误而失败:
Profile Installation Failed:
The SCEP server returned an invalid response
查看控制台日志记录并没有显示出太多用处:
default 14:00:17.421822-0700 profiled Could not retrieve issued certificate: NSError:
Desc : The SCEP server returned an invalid response.
US Desc: The SCEP server returned an invalid response.
Domain : MCSCEPErrorDomain
Code : 22013
Type : MCFatalError
error 14:00:17.422199-0700 profiled Cannot retrieve SCEP identity: NSError:
Desc : The SCEP server returned an invalid response.
US Desc: The SCEP server returned an invalid response.
Domain : MCSCEPErrorDomain
Code : 22013
Type : MCFatalError
error 14:00:17.422306-0700 profiled Rolling back installation of profile
似乎使用了某种签名或校验和,但这很奇怪,因为配置文件明确表示它没有签名。查看所有正在使用的字段,我唯一能猜到的是挑战字段以某种方式涉及。Apple 的文档在这里给出了关于这个字段的提示:
可以将前端服务设置为通过质询的方式进行访问,实际上是授权令牌(一次性密码,或包含用户/设备信息的签名/加密 blob),以允许自动颁发证书.
然而,以上只是一个建议,我无法找出挑战参数的实际定义方式(我使用的值是oBGLAsWsMWnHiycHpBaHXNmVEDevrLt)。我正在使用配置文件管理器附带的 SCEP 服务器,但我找不到任何有关此的文档,并且应该存在于控制台日志中的日志记录(使用密钥“com.apple.SCEP”)没有t 似乎存在。
如果我从配置文件中完全删除挑战参数,我会在设备注册期间收到提示,但我不确定我应该在其中放入什么。
如果有人有任何想法,请告诉我。
UDPATE:查看 /Library/Logs/ProfileManager/dmSCEPService.log 我看到这些错误:
0:: [335] [2019/06/19 14:00:16.917] Certificate placeholder with challengePassword not found
0:: [335] [2019/06/19 14:00:16.917] EXCEPTION: SCEP BAD CHALLENGE <SCEP BAD CHALLENGE>
USERINFO: {
NSLocalizedDescription = "Unknown error 20";
}
这证实了这是导致问题的挑战,但我不确定如何产生适当的挑战以便事情成功。