我正在构建一个 IOS MDM 服务器。我已经实现了 SCEP 服务器来处理 GetCACert、GetCACaps 和 PKIOperation。
我已经签发了有效期为3年的身份证明。稍后我将使用颁发的公共身份证书来验证 MDM 签名和加密。
现在我的问题是,
问题一:如果我的身份证3年后过期了怎么办?到期前如何续订?
出于测试目的,我从我的 SCEP 服务器颁发了过期的身份证书。我收到了Update Profile 中提到的this question 选项。
但问题是,
问题 2: 有什么方法可以使这个过程自动化?如果配置文件中的任何证书即将到期,而不是等待用户调用更新过程,我们是否应该自动执行此操作?
问题 3: 另一个有趣的事情是,即使在身份证书过期后,我也能够发送使用过期证书加密的远程管理命令。设备也用相应的私钥对其进行了解密,命令执行成功。我在这里错过了什么吗?如果过期的证书有效,那么更新它有什么意义呢?如果我错了,请纠正我。
【问题讨论】:
如果我的身份证件在 3 年后过期了怎么办?我应该如何在到期前续订?
您应该在到期前续订证书。如果不删除,配置文件将变为红色,您将获得Update profile 选项。通过单击Update Profile 选项,设备向配置文件 URL 发送 HTTP 请求。作为响应,您可以重新发布配置文件以及 SCEP 有效负载以生成新的身份证书。
所有这些事情都是在手动单击更新配置文件选项后发生的。这个过程有什么办法可以自动化吗?如果配置文件中的任何证书即将到期,我们是否应该自动执行此操作,而不是等待用户调用更新过程?
是的,你可以。在证书到期之前(您应该能够识别将在 MDM 服务器中到期的身份证书,因为应该维护这些证书以供以后加密和签名验证),您可以使用更新的配置文件向设备发送InstallProfile 命令。有效载荷可以有 MDM、SCEP 有效载荷。请注意,您不能更改主题、ServerURL、CheckinURL 和升级访问权限。
由于发送了 SCEP 有效负载,证书注册过程将重新开始,您可以颁发具有新有效性的证书。
另一个有趣的事情是,即使在身份证书过期后,我也能够发送使用过期证书加密的远程管理命令。
请参考this question。您可以使用过期证书加密数据。如果证书过期,私钥可能会被遗弃或泄露。因此,要接受证书的客户端如果不想使用被遗弃或受损私钥的公钥对,则应验证其到期日期。这里客户端是 MDM 服务器,私钥所有者是设备。也许无论如何都不能放弃设备的私钥。所以解密工作正常。
【讨论】: