mobileconfig文件的签名和认证（signed、verified）

专题：基于IOS上MDM技术相关资料整理及汇总

mobileconfig文件的签名和认证（signed、verified）

1、功能描述：
鉴于咱们的设备和MDM server之间已经能够通讯，并能完成相应的锁屏、擦除数据、查询设备信息等功能，可是，咱们在安装了mobileconfig后，返现配置描述文件打 开显示“unsigned” 或者“还没有签名”这样的状况，因此接下来的工做就是让咱们的mobileconfig文件看起来更加安全一些。

2、操做步骤：
一、确保咱们有以下文件：
  （1）、mbaike.crt（https服务器端使用证书文件）
  （2）、mbaike.key（https服务器端使用证书对应的密钥）
  （3）、ca-bundle.pem（startssl官网下载的跟证书文件，具体的在哪里下载，请在startssl控制面板中查找）
  （4）、unsigned.mobilecofig文件（IOS端生成的未签名的配置描述文件）

二、在linux上经过openssl命令生成签名后的signed.mobileconfig文件：
openssl smime -sign -in unsigned.mobileconfig -out signed.mobileconfig -signer mbaike.crt -inkey mbaike.key -certfile ca-bundle.pem -outform der -nodetach
注意：在使用上面的openssl命令的时候会要求输入key文件的密码，咱们这里不建议使用这种方式，咱们把key文件的密码写入到key文件中，这样就不须要输入密码了，详见第三步；

三、将key的密码写入key文件：
openssl rsa -in mbaike.key -out mbaikenopass.key
故，第二步中的命令变成了：
openssl smime -sign -in unsigned.mobileconfig -out signed.mobileconfig -signer mbaike.crt -inkey mbaikenopass.key -certfile ca-bundle.pem -outform der -nodetach
这样就不须要输入密码了，这一步，咱们获得了signed.mobileconfig这个文件，这个文件就是咱们获得的签名和认证后的文件，咱们安装到移动设备中，mobileconfig配置描述文件变成了绿色的“Verified”了。

备注：由于咱们的mobileconfig配置描述文件通常都是动态生成的，由于文件中含有“Check In URL” 和“Server URL ”两个动态的地址，因此须要经过java程序动态调用openssl命令来生成签名后的文件，这里咱们后面介绍。

原创文章如转载，请注明：转载自： 移动互联百科
本文固定连接： http://www.mbaike.net/ios/1578.html