SCEP身分证续期

Question

我正在构建一个IOS MDM服务器。我已经实现了SCEP服务器来处理GetCACert、GetCACaps和PKIOperation。

本人已发出有效期为3年的身分证。稍后，我将使用已颁发的公共身份证书来验证MDM签名和加密。

现在我的问题是，

问题1:如果我的身份证在3年后到期，我该怎么办？在到期前我该如何续订？

出于测试目的，我从SCEP服务器发出了过期的身份证书。我得到了Update Profile选项，如this question中提到的。

但问题是

问题2:有任何方法可以使这个过程自动化吗？如果配置文件中的任何证书将过期，而不是等待用户调用的更新过程，那么我们是否应该将其自动化？

问题3:另一件有趣的事情是，即使身份证书过期后，我仍然能够发送使用过期证书加密的远程管理命令。设备还使用相应的私钥解密它，并成功地执行了命令。我在这里有遗漏什么吗？如果过期的证书有效，那么更新它的意义是什么？如果我错了，请纠正我。

Answer 1

，如果我的身份证在3年后到期，我该怎么办？我该如何在到期前续订？

你应该在证书到期前续签。如果未删除，配置文件将变成红色，您将得到Update profile option.By单击Update Profile选项，设备发送HTTP请求到配置文件URL。作为响应，您可以与SCEP有效负载一起重新发布配置文件，以生成新的身份证书。

所有这些事情都是在手动单击Update选项之后才发生的。这个过程有什么方法可以自动化吗？如果配置文件中的任何证书将过期，而不是等待用户调用的更新过程，我们是否应该自动执行此操作？

是的你可以。在证书到期之前(您应该能够识别在MDM服务器中过期的身份证书，因为这些证书应该被维护以便以后进行加密和签名验证)，您可以使用更新的配置文件向设备发送InstallProfile命令。有效载荷可以有MDM，SCEP有效载荷。请注意，您不能更改主题ServerURL、CheckinURL和升级访问权限。由于SCEP有效负载已发送，证书注册过程将重新启动，您可以颁发具有新有效性的证书。

另一件有趣的事情是，即使在身份证书过期之后，我仍然能够发送使用过期证书加密的远程管理命令.。

请参考this question。可以使用过期证书加密数据。如果证书过期，私钥可能被放弃或泄露。因此，要接受证书的客户端应该验证它的过期日期，如果它不想使用被遗弃或被泄露的私钥的公钥对。这里客户端是MDM，私钥所有者是设备。也许设备的私钥无论如何都不能放弃。所以解密工作正常。