OTAの3つのフェーズ
フェーズ1:単純な初期構成プロファイルを介して必要な情報を収集します。
フェーズ2:SCEPペイロードが構成された構成プロファイルを返す
フェーズ3:MDMペイロードを含む構成プロファイルを返す
2つの質問があります:
scepとmdmは同じドメインにある必要がありますか?
フェーズ3を実行するためにscepサーバーから制御を取り戻すにはどうすればよいですか?証明書が配信されたらリダイレクトするようにscepを構成する必要がありますか?
質問する
4128 次
3 に答える
4
SCEP は簡単に別のドメインのサーバーにすることができます。デバイスがローカル MDM サーバーを介して登録されたセットアップを実行していますが、別のドメイン (実際には別の国にある) の別のサーバー上の SCEP サーバーから ID 証明書を受け取りました。
デバイスが SCEP サーバーから証明書を正常に受信すると、MDM サーバーに自動的に再度接続して登録を完了します。私の場合、MDM ペイロードには必須の IdentityCertificateUUID キーがあるため、MDM ペイロードを別の SCEP ペイロードとパッケージ化する必要があることがわかりました。
私は実際に 2 番目の SCEP ペイロードを送信することを避けようとしています。回答を探しているときに、あなたの質問に出くわしました。私の答えがあなたをもう少し助けてくれることを願っています。
Apple のiPhone OTA Configuration ドキュメントを読みましたか? これは実装中に私にとってかけがえのない助けとなりました。さらに、このドキュメントから他のリソースへのリンクがあります。
于 2012-12-02T16:33:43.127 に答える
2
いいえ、そうではありません。SCEP ペイロードを含む構成プロファイルをデバイスに返すときに、SCEP サーバーの URL がペイロードに含まれるためです。
リダイレクトを構成する必要はありません。前の回答で言及した iPhone OTA 構成ドキュメントによると、デバイスが SCEP 登録を完了すると、フェーズ 2 と同じ URL にリクエストを送信しますが、今回は新しく取得した SCEP 証明書でリクエストに署名します。サーバーは要求の署名を検証し、デバイスが SCEP 登録を完了し、MDM ペイロードを含む構成プロファイルを受信する準備ができていることを理解し、サーバーが応答としてそれを送信します。要約すると、デバイスからのフェーズ 2 とフェーズ 3 の両方の要求は同じ URL に送信されますが、違いは要求が署名される証明書にあります。 フェーズ 2 - Apple によって発行されたデバイス証明書 フェーズ 3 - SCEP サーバーによって発行された証明書
于 2012-12-04T05:00:46.697 に答える
1
私はこれをかなり前に行いましたが、概要としてわかります。SCEP ペイロードで、MDM サーバーの url を指定したことを思い出してください。そのため、2 番目のステップ、つまり SCEP 登録が完了すると、デバイスはペイロードから MDM URL を取得し、サーバーにヒットします。
SCEP 構成プロファイルで言及していることに注意してください。
于 2012-12-04T06:37:46.543 に答える