SCEP 身份证书更新
SCEP Identity Certificate renewal
我正在构建一个 IOS MDM 服务器。我已经实施了 SCEP 服务器来处理 GetCACert、GetCACaps 和 PKIOperation。
本人已签发有效期为3年的身份证件。稍后我将使用颁发的 public 身份证书来验证 MDM 签名和加密。
现在我的问题是,
问题一:我的身份证件3年后过期了怎么办?过期前如何续费?
出于测试目的,我从我的 SCEP 服务器颁发了一个过期的身份证书。我得到 Update Profile 选项,如 this question 中所述。
但问题是,
问题 2:有什么方法可以使这个过程自动化?如果配置文件中的任何证书即将过期,而不是等待用户调用更新过程,我们是否应该将其自动化?
问题3: 另一个有趣的事情是,即使在身份证书过期后,我仍然能够发送使用过期证书加密的远程管理命令。设备也用相应的私钥对其进行解密,命令成功执行。我在这里错过了什么吗?如果过期证书有效,那么更新它有什么意义呢?如果我错了,请指正。
身份证件3年后过期怎么办?证书过期前如何更新?
您应该在证书过期前更新证书。如果不删除,配置文件将变为红色,您将获得 Update profile option.By 单击 Update Profile 选项,设备将 HTTP 请求发送到配置文件 URL。作为响应,您可以重新发布配置文件以及 SCEP 有效负载以生成新的身份证书。
所有这些事情都是在手动单击更新配置文件选项后发生的。有什么方法可以使这个过程自动化?如果配置文件中的任何证书即将过期,而不是等待用户调用更新过程,我们是否应该自动执行此操作?
是的,你可以。在证书到期之前(您应该能够识别将在 MDM 服务器中到期的身份证书,因为这些证书应该被维护以供以后加密和签名验证),您可以向设备发送 InstallProfile 命令更新轮廓。有效载荷可以有 MDM、SCEP 有效载荷。请注意,您不能更改 Topic、ServerURL、CheckinURL 和 Upgrade 访问权限。
由于发送了 SCEP 负载,证书注册过程将重新开始,您可以颁发具有新有效期的证书。
另一个有趣的是,即使在身份证书过期后,我也能够发送使用过期证书加密的远程管理命令。
请参考this question。您可以使用过期证书加密数据。如果证书过期,私钥可能会被放弃或泄露。因此,要接受证书的客户端如果不想使用 public 被遗弃或泄露的私钥的密钥对,则应验证其到期日期。这里的客户端是 MDM 服务器,私钥所有者是设备。也许无论如何都不能放弃设备的私钥。所以解密工作正常。
我正在构建一个 IOS MDM 服务器。我已经实施了 SCEP 服务器来处理 GetCACert、GetCACaps 和 PKIOperation。
本人已签发有效期为3年的身份证件。稍后我将使用颁发的 public 身份证书来验证 MDM 签名和加密。
现在我的问题是,
问题一:我的身份证件3年后过期了怎么办?过期前如何续费?
出于测试目的,我从我的 SCEP 服务器颁发了一个过期的身份证书。我得到 Update Profile 选项,如 this question 中所述。
但问题是,
问题 2:有什么方法可以使这个过程自动化?如果配置文件中的任何证书即将过期,而不是等待用户调用更新过程,我们是否应该将其自动化?
问题3: 另一个有趣的事情是,即使在身份证书过期后,我仍然能够发送使用过期证书加密的远程管理命令。设备也用相应的私钥对其进行解密,命令成功执行。我在这里错过了什么吗?如果过期证书有效,那么更新它有什么意义呢?如果我错了,请指正。
身份证件3年后过期怎么办?证书过期前如何更新?
您应该在证书过期前更新证书。如果不删除,配置文件将变为红色,您将获得 Update profile option.By 单击 Update Profile 选项,设备将 HTTP 请求发送到配置文件 URL。作为响应,您可以重新发布配置文件以及 SCEP 有效负载以生成新的身份证书。
所有这些事情都是在手动单击更新配置文件选项后发生的。有什么方法可以使这个过程自动化?如果配置文件中的任何证书即将过期,而不是等待用户调用更新过程,我们是否应该自动执行此操作?
是的,你可以。在证书到期之前(您应该能够识别将在 MDM 服务器中到期的身份证书,因为这些证书应该被维护以供以后加密和签名验证),您可以向设备发送 InstallProfile 命令更新轮廓。有效载荷可以有 MDM、SCEP 有效载荷。请注意,您不能更改 Topic、ServerURL、CheckinURL 和 Upgrade 访问权限。
由于发送了 SCEP 负载,证书注册过程将重新开始,您可以颁发具有新有效期的证书。
另一个有趣的是,即使在身份证书过期后,我也能够发送使用过期证书加密的远程管理命令。
请参考this question。您可以使用过期证书加密数据。如果证书过期,私钥可能会被放弃或泄露。因此,要接受证书的客户端如果不想使用 public 被遗弃或泄露的私钥的密钥对,则应验证其到期日期。这里的客户端是 MDM 服务器,私钥所有者是设备。也许无论如何都不能放弃设备的私钥。所以解密工作正常。