问题标签 [scep]

我正在实现一个 SCEP 服务器来分发客户端证书。根据协议，对于GetCACert来自设备的请求，响应头的 content-type 应该是application/x-x509-ca-cert。

我的问题是，默认情况下，每个响应的字符编码都是UTF-8由我的应用程序的过滤器设置的，因此响应变为application/x-x509-ca-cert;charset=UTF-8. 设备不喜欢这个字符编码部分并拒绝响应。

我怀疑设备可能会尝试将响应从 UTF-8 格式转换，因此我尝试将响应编码为 UTF-8，但设备仍然不接受我的响应。

然后我将 burp 代理设置为设备并charset=UTF-8从响应标头中删除了该部分，并且设备接受了响应。

经过一番谷歌搜索，我发现证书是用 编码的DER，但是当我DER作为字符编码给出时，java 说unknown-encoding，而且IANA字符编码在他们的官方字符集中也没有DER。

我的问题是“可用于定义 x509 证书字符编码的官方字符集名称是什么？”。

我们有一个注册 iOS 设备的 mdm 服务器，我们使用 EJBCA 进行 SCEP 注册。在注册期间，iOS 系统与 EJBCA 服务器通信并从 EJBCA 下载 CA 证书。以下是 iOS 系统调用以从 EJBCA 获取证书的 EJBCA 端点 -

证书的有效期设置为 2 年。那么如果证书过期或即将过期，两年后会发生什么。iOS系统会自动检查过期并更新CA证书吗？

我一直在开发基于 centos:latest 的 docker 映像并安装了应用程序：certmonger 0.79，以便能够从 Windows SCEP 服务器签出 CA 和证书。

如果我在运行 RedHat 7 的专用服务器上运行我的脚本，该服务器也与 Windows SCEP 服务器在同一个域中，我可以设法获得我的证书

但是从我在 Azure AKS k8s 集群中运行的 docker 映像中，结帐不起作用。

出现以下错误

此状态在 status=SUBMITTING 和 GENERATING_SCEP_DATA 之间交换，并且在我停止请求跟踪之前永远不会结束。

这里可能有什么问题？

我正在尝试使用 pkijs 库使用本地证书签署 CSR，但 CA 总是返回错误：无法解析 PKIOperation 请求。

我还认为 pkijs 中的 sign 方法只返回签名而不是带有它的封装数据，因为我的封装数据大小比签名数据大小大得多。

这是我用来签署数据的代码：

有什么建议吗？

我正在尝试在 iphone 上使用 OTA 安装配置文件 (.mobileconfig)。我正在关注此文档：https ://developer.apple.com/library/archive/documentation/NetworkingInternet/Conceptual/iPhoneOTAConfiguration/OTASecurity/OTASecurity.html#//apple_ref/doc/uid/TP40009505-CH3-SW7并且卡住了在证书注册阶段。对于 scep 服务器，我将此https://github.com/micromdm/scep/tree/main/cmd/scepserver作为独立服务器运行。ios 设备请求的 3 个端点是/GetCACert、/GetCACaps和/PKIOperation设备尝试与 scep 服务器通信的前几次，失败发生在 /PKIOperation（带有设备响应证书颁发机构的响应无效- 意味着 /GetCACert 操作通过）但是，在前几次之后，设备返回22012 Cannot store CACertificate。有没有人遇到过这个问题？我对 scepserver 进行了更改

• 在启动服务器之前将keySize更改为2048：https ://github.com/micromdm/scep/blob/2c960890b7b79a791f631230ad3e49bf4264c9cc/cmd/scepserver/scepserver.go#L176。