iOS设备MDM开发流程证书相关
** TracyYih 发表于
2015-03-23 18:08

** MDM, iOS

申请Vendor
申请成为MDM Vendor
首先需要拥有一个 iOS Developer Enterprise Program 帐号;
申请成为MDM Vendor，iOS企业开发帐号默认不支持MDM功能，需要向苹果申请才能开通，访问https://developer.apple.com/contact/submit.php，并通过iOS企业开发帐号Agent身份登录，提交申请说明希望成为MDM Vendor，苹果一般在一个工作日内会处理完毕，处理完后会给Agent发邮件通知，此时再次登录到开发中心Add iOS Certificate界面或多处一个“MDM SCR”选项。

申请证书
在OS X上打开钥匙串，点击“钥匙串访问->证书助理->从证书颁发机构请求证书”，创建一个CSR，将此CSR存储至磁盘。记住“常用名称”字段为私钥的名字，创建CSR的同时，钥匙串“密钥”栏中会增加一个以该常用名称为名的私钥。
在钥匙串中选择创建CSR时的私钥，导出为MDMVendor.p12文件，导出时会要求你设置私钥密码，如果设置密码请记住这个密码（后面会用到）。
登录iOS Developer Center，进入Certificates，点击Add Certificate(“+”按钮)，选择Production下面的“MDM SCR”。
[图片上传中。。。（1）]
点击Continue->Continue，上传之前创建的CSR文件，然后点击Generate。点击Download，得到一个mdm.cer证书。

申请MDM Customer
创建CSR
使用钥匙串创建一个CSR，记住密钥的常用名称，导出CSR，命名为MDMCustomer.csr。

获取编码的Plist文件
1

python mdm_verdor_sign.py --csr MDMCustomer.csr -key 'MDMVendor.key' --mdm mdm.cer

MDMCustomer.csr提交给Vendor，Vendor对Customer提交的MDMCustomer.csr进行签名。我们使用mdm_vendor_sign.py 工具签名：执行完后会生成一个plist_encoded文件。

获取MDM推送证书
用iOS企业开发帐号的Apple ID登录 Apple Push Certificates Portal，选择“Create a Certificate”，上传之前的plist_encoded文件。上传后会生成一个APNS的证书，下载得到.pem文件，双击文件安装到钥匙串。打开钥匙串可查看该证书名为“APSP:xxx”：

配置 MDM Enrollment Profile
接下来需要生成一个MDM Enrollment Profile配置文件安装到目标iOS设备，之后MDM服务器就可以通过APNs发送指令到目标设备进行设备管理。
使用iPhone Configuration Utility生成MDM Enrollment Profile
iPhone Configuration Utility (IPCU中文名：iPhone配置实用工具)是苹果提供的专门用户制作iOS配置文件的工具。
iPhone Configuration Utility 貌似已经别苹果抛弃了，替代工具可以使用 OS X Server 或直接用文章后面附的 xml 格式修改。

a. 在IPCU中点击“新建”，创建一个描述文件，在“通用”中填写名称、标识符、机构、描述、安全性等。

MDM Enrollment Profile格式参考

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>AccessRights</key>
<integer>8191</integer>
<key>CheckInURL</key>
<string>[CheckIn URL，必须为HTTPS]</string>
<key>CheckOutWhenRemoved</key>
<true/>
<key>IdentityCertificateUUID</key>
<string>A1A4B9B4-D575-4B86-9CB2-1ECAEC947154</string>
<key>PayloadDescription</key>
<string>配置“移动设备管理”</string>
<key>PayloadDisplayName</key>
<string>移动设备管理</string>
<key>PayloadIdentifier</key>
<string>com.xxx.mdm.mdm</string>
<key>PayloadOrganization</key>
<string>[Organization Name]</string>
<key>PayloadType</key>
<string>com.apple.mdm</string>
<key>PayloadUUID</key>
<string>4DBD3BA6-0941-4EE6-99FD-7E2C82E95B5D</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>ServerURL</key>
<string>[Server URL，必须为HTTPS]</string>
<key>SignMessage</key>
<true/>
<key>Topic</key>
<string>com.apple.mgmt.External.97eb479e-5ad1-4bcb-bc9a-ac7fe2a8e7c0</string>
</dict>
<dict>
<key>Password</key>
<string>[SSL证书密码]</string>
<key>PayloadCertificateFileName</key>
<string>client.p12</string>
<key>PayloadContent</key>
<data>
[...base64 格式证书...]
</data>
<key>PayloadDescription</key>
<string>提供设备鉴定（证书或身份）。</string>
<key>PayloadDisplayName</key>
<string>client.p12</string>
<key>PayloadIdentifier</key>
<string>com.xxx.mdm.凭证</string>
<key>PayloadOrganization</key>
<string>[Organization Name]</string>
<key>PayloadType</key>
<string>com.apple.security.pkcs12</string>
<key>PayloadUUID</key>
<string>A1A4B9B4-D575-4B86-9CB2-1ECAEC947154</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</array>
<key>PayloadDescription</key>
<string>描述文件描述。</string>
<key>PayloadDisplayName</key>
<string>MDM Enrollment Profile</string>
<key>PayloadIdentifier</key>
<string>com.xxx.mdm</string>
<key>PayloadOrganization</key>
<string>Tendyron</string>
<key>PayloadRemovalDisallowed</key>
<false/>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>EE9F29F2-ADD2-4E6B-ADE4-767791D9F9FA</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>