iOS MDM详解（2）— 证书的制做

简介

这个证书就是MDM Server 和 APNs推送消息所须要的证书，固然和APP推送证书彻底不一样，虽然功能差很少。

MDM中分为Vendor 和Customer两个角色，即服务商和用户。
若是你有个企业开发者帐号，没错就是$299的那个，你既能够是Vendor,也能够是Customer。做为一个Vendor，你能够为Customer的证书请求文件颁发个用于签名的证书。

若是你仅仅是个Customer也就是没有$299的帐号，只能等Vendor给你颁发个.cer证书、签名产生个plist_encoded 文件，而后提交到identity.apple.com/pushcert/，若是文件不正确会提示格式错误，若正确会生成一个用于推送的证书mdm.pem。

如下以一个Vendor的角色进行如下操做。

一、 开通MDM服务功能

默认的企业开发者帐号没有开通MDM服务,须要申请开通MDM服务成为Vendor，输入企业帐号和密码登陆，提示你填写一些东西申请服务。若是你按要求填写了，提交了，而后就是傻傻的等待了。当时我提交后一周后也没反应，索性直接打电话人工客服，一分钟搞定。若是开通成功后会发邮箱通知，而后在制做证书的时候会出现MDM CSR选项。以下：

二、生成MDM证书

做为一个vendor首先要生成个用于签名的.cer证书，具体步骤以下

• 打开钥匙串生成mdm_vendor.certSigningRequest

• 导出秘钥mdm_vendor.p12记住导出密码下面签名时会用到

• 登陆开发者中心制做MDM CSR类型的证书，下载即获得证书mdm.cer。此证书用来为customer生成的.csr证书文件签名。

####做为一个customer

• 终端中生成customer.csr文件

  openssl genrsa -des3 -out customerPrivateKey.pem 2048
    openssl req -new -key customerPrivateKey.pem -out customer.csr
  复制代码

  或者利用钥匙串生成，而后以.csr后缀保存，而后导出秘钥.p12格式并记住密码

• 提交customer.csr文件 给vendor 进行签名处理。

对customer.csr签名

关于customer.csr文件的签名网上广泛有两种方法，一个Python脚本，一个时Java版的Softthinker,在此使用Python脚本。

Python脚本源代码，使用过程当中可能因为Mac中python版本有问题，没法下载所需的AppleIncRootCertificate.cer和AppleWWDRCA.cer 这两个官方提供的 证书。因此改了下脚本，直接把证书文件下载到本地。

根据要求须要把 mdm_vendor.p12 转化为 mdm_vendor.key格式的:

openssl pkcs12 -in mdm_vendor.p12 -nocerts -out mdm_vendor.key
复制代码

而后在终端中执行如下操做

python mdm_vendor_sign.py 
--key mdm_vendor.key  
--csr customer.csr 
--mdm mdm.cer 
--root AppleIncRootCertificate.cer 
--WWDR AppleWWDRCA.cer 
复制代码

执行过程当中提示输入密码密码，结束，目录下多出一个"plist_encoded"的签名文件。 执行结果如图:

——————

个人目录文件截图:

我用于签名的Python文件为了方便操做在源文件的基础上作了些修改。

到identity.apple.com/pushcert/ 提交 生成的plist_encoded文件，若是文件有问题会提示无效的文件，若是一切正常会生成咱们最后须要的MDM_Certificate.pem的证书，之后server和APNs通讯就是需这个证书。

三、验证MDM_Certificate.pem证书有效性并进行格式转化

以上获得了MDM_Certificate.pem,那么咱们获得的这个是否是正确的呢？咱们能够再终端中验证一下：

openssl s_client -connect gateway.push.apple.com:2195 -cert MDM_Certificate.pem -key customerPrivateKey.pem -debug -showcerts -status

若是提示了错误，或链接直接closed则证书有问题。若是一直一直处于等待输入状态，输入任意、退出则证书是有效的。

接下来几乎网上全部的文章都是这样的

双击MDM_Certificate.pem安装，查看证书信息如图

其中用户ID : com.apple.mgmt.External.* 这个很重要，在配置.mobileconfig文件要用到。

而后就没了，还有人说直接导出为.p12格式。可是为啥个人安装后根本导不出p12格式呢? 咱们是Java后台因此须要p12格式的，这里就须要进一步的格式转化了。

在终端中:

openssl pkcs12 -export -in MDM_Certificate.pem -out MDM_Certificate.p12 -inkey customerPrivateKey.pem

四、至此获得和APNs通讯的证书MDM_Certificate.p12。

把证书和密码交给咱们的后端人员，证书制做完成，是否是和APP的推送证书彻底不一样？我感受彻底是两个概念。