OTA招生: MDM和SCEP

Question

OTA中的三阶段

Phase1:通过简单的初始配置文件收集所需的信息。

Phase2:返回配置配置文件，配置了SCEP有效负载

Phase3:使用MDM有效负载返回配置配置文件

我有两个问题：

1. scep和mdm需要在同一个域上吗？
2. 如何从scep服务器获得控制权以执行phase3？我们是否需要配置scep，以便在证书交付后重定向？

Answer 1

1. SCEP很容易成为另一个域上的服务器。我正在运行一个安装程序，其中我的设备通过本地MDM服务器注册，但从另一个具有不同域(实际上位于另一个国家)的服务器上的SCEP服务器接收身份证书。
2. 当设备成功地从SCEP服务器接收到证书后，它将再次自动与MDM服务器联系以完成注册。在我自己的例子中，我发现有必要将MDM有效负载打包到另一个SCEP有效负载中，因为MDM有效负载具有强制的IdentityCertificateUUID密钥。

实际上，我试图避免发送第二个SCEP有效载荷，在寻找答案时，我偶然发现了您的问题。我希望我的回答能帮助你更进一步。

你读过苹果的iPhone OTA配置文档吗？在执行过程中，这对我是一个宝贵的帮助，而且还有与本文件中的其他资源的联系。

Answer 2

1. 不，它们没有，因为当将配置配置文件SCEP有效负载返回到设备时，SCEP服务器URL将包含在有效负载中。
2. 您不需要配置任何重定向。根据前面答复中提到的iPhone OTA配置文件，当设备完成SCEP注册时，它将请求发送到与第二阶段相同的URL，但这次它使用新获得的SCEP证书对请求进行签名。服务器验证请求的签名并理解，该设备已完成SCEP注册，并准备好接收具有MDM有效负载的配置配置文件，因此服务器将其作为响应发送。总之，来自设备的第二阶段和第三阶段请求都被发送到同一个URL，但不同之处在于签署请求的证书:由Apple第三阶段颁发的设备证书- SCEP服务器颁发的证书。

Answer 3

我做了这么久以前，但我可以说，作为一个概述。请记住，在SCEP有效负载中，您已经给出了MDM服务器url。因此，一旦第二步即SCEP注册结束，设备将从有效负载中获取MDM url，并将其击中服务器。

请注意SCEP配置配置文件中提到的内容。