Apple MDM服务器，iOS工作正常，OS X注册失败并出现“意外错误”

Question

因此，正如我过去的许多问题所表明的那样，我一直在从头开始实现Apple MDM服务。它现在几乎可以完美地与我们扔给它的任何iOS设备一起工作，这是很好的。然而，当我们尝试注册一个OS设备时，根据苹果的说法，它使用了相同的API，它失败了，出现了一个意想不到的错误(与我假设的例外错误相反)。

以下两行显示在system.log中：

Mar 18 15:33:05 dizzy mdmclient[23234]: *** ERROR *** [Agent:510] ProcessOTABootstrapPayload (Unable to receive OTA identity profile <InternalError:1>)
Mar 18 15:33:05 dizzy System Preferences[93537]: *** ERROR *** [CPInstallerUI:510] Profile installation (Device Enrollment (com.capasystems.enrollment.handshake )) (Unable to receive OTA identity profile <InternalError:1>

查看SCEP服务器日志，我可以看到它甚至没有尝试连接，在确定它无法接收OTA身份配置文件之前。所以我有点不知所措，我试过排除网络故障，但同一网络上的iOS设备工作正常。我尝试过使用SSL连接和非SSL连接。没什么区别。

我们使用JSCEP作为SCEP服务器，如果它有什么不同的话。有没有人知道为了让整个MDM在OS上工作，我缺少了什么没有文档记录的额外基础设施？

Answer 1

我有同样的问题很长一段时间了，我花了太多的时间试图解决这个问题。

对我来说，当我能够成功注册一台机器(我的macbook pro，我的个人电脑)，但无法注册另一台( mac mini)时，答案就来了。事实证明，要成功注册，使用CN=com.apple.idms.appleid.prd.XXX的有效证书...是必需的。此证书似乎链接到已登录用户的iCloud帐户，这意味着如果您没有登录到计算机上的iCloud帐户，则没有证书。在我(a)登录到有效的iCloud帐户并(b)尝试在我们的mdm解决方案中注册之后，此证书显示在登录密钥链中，注册过程顺利完成。

希望这对某些人有帮助。

Answer 2

我会仔细检查网络问题。您的Mac和您的iPhone可以在两个不同的网络(有线和无线)上，在这种情况下，它们可以在SCEP服务器上访问不同的端口。

此外，在这种情况下，如果您的SCEP服务器受ssl保护(例如位于Apache之后)，请确保您的Mac在System root中安装了根证书。

顺便说一句。如果你有像Apache这样的东西坐在SCEP服务器的前面，也要检查它的日志。

Answer 3

该错误意味着设备无法在有效负载中检索身份证书。将标识including指向scep payloaduuid，或者指向包含在有效负载中的identity.p12 payloaduuid。