Настройка сервера MDM для iPhone

Может показаться, что его спрашивали несколько раз, но ответов на свои сомнения я так и не нашел.

  1. Поскольку нужно настроить сервер MDM, какие вещи должны быть доступны или установлены на этом сервере. Есть конкретная конфигурация?
  2. Требуется ли SCEP (который, я думаю, должен быть доступен на сервере) для настройки MDM. Если да, то как с этим быть.

Когда я устанавливаю URL-адрес сервера в профиле конфигурации MDM для любого из имеющихся у меня серверов, профиль не устанавливается с ошибкой в ​​​​консоли, поскольку сертификат удостоверения для com.abc.mdm.mdm1 не может быть найден.

Будет полезно, если кто-нибудь сможет перенаправить меня к подробным инструкциям по настройке сервера MDM. Я не смог найти ничего подобного в видео Apple WWDC 2010.

Редактировать: еще кое-что, что я пробовал

Я пытаюсь настроить сервер MDM для iPhone и до сих пор пробовал следующие шаги.

  • Я установил пробный сертификат от RapidSSL. Когда я открываю свой сайт как https://example.com, я вижу замок в адресной строке, поэтому я считают, что сертификат действителен и работает.
  • В iPCU я создаю полезную нагрузку учетных данных и выбираю свой сертификат из списка.
  • В полезных данных MDM, когда я пытаюсь выбрать удостоверение, раскрывающийся список отключается с сообщением Добавить учетные данные в полезные данные учетных данных.

В полезной нагрузке учетных данных, когда я выбираю любой другой сертификат из списка — например, VeriSign — в полезной нагрузке MDM я включаю раскрывающийся список «Идентификация» и могу выбрать настроенные учетные данные, но это недействительный сертификат.

Изменить: добавлены изображения

Сертификат виден на веб-сайте

Учетные данные — iPCU

MDM - iPCU

Редактировать: еще больше перемещено После некоторых обращений туда и сюда я теперь могу активировать поле «Идентификация». Но когда я пытаюсь установить профиль, я получаю сообщение об ошибке «Не удалось установить профиль» с сообщением в консоли как

Nov 22 15:15:11 Apple-iphone-4 profiled[1320] <Warning>: MDM|Cannot Authenticate. Error: NSError 0x1ddb8f50:
Desc   : A transaction with the server at https://example.com has failed with the status 405.
US Desc: A transaction with the server at https://example.com has failed with the status 405.
Domain : MCHTTPTransactionErrorDomain
Code   : 23001
Type   : MCFatalError
Params : (
"https://example.com",
405
)
Nov 22 15:15:11 Apple-iphone-4 profiled[1320] <Warning>: MC|Cannot install MDM com.example.ota.mdm2. Error: NSError 0x1ddb9120:
Desc   : The payload com.example.ota.mdm2 could not be installed.
Sugg   : A transaction with the server at https://example.com has failed with the status 405.
US Desc: The payload com.example.ota.mdm2 could not be installed.
US Sugg: A transaction with the server at https://example.com has failed with the status 405.
Domain : MCInstallationErrorDomain
Code   : 4001
Type   : MCFatalError
Params : (
"com.example.ota.mdm2"
)

Изменить: продолжение после долгого перерыва

Вот краткое изложение того, что я сделал до сих пор.

  • Настроил сервер Windows 2008 с сертификатом SSL от ЦС. т.е. Доступ к серверу можно получить как https://example.com.
  • Размещен веб-сервис .Net, который прослушивает PUT.
  • Создан сертификат MDM с портала разработчиков iOS.
  • Сгенерировал Push-сертификат от Apple. Тема что-то вроде com.apple.mgmt.External.035e7xxxxx
  • Добавлен сертификат сервера в полезную нагрузку учетных данных iPCU. Это было сделано путем - экспорта SSL на стороне сервера в виде файла .pfx - добавления этого файла в хранилище сертификатов Windows - выбора этого сертификата в полезной нагрузке учетных данных.

Я разместил этот профиль на сервере. Когда я загружаю его на устройство, мне предоставляется установка профиля на устройстве. Когда я устанавливаю этот профиль, я получаю сообщение об ошибке: «Не удалось установить профиль MDM». Просматривая журналы устройства, я обнаружил

<Notice>: (Error) MDM: Cannot Authenticate. Error: NSError:
    Desc   : A transaction with the server at “https://example.com” has failed with the status “400”

IMP: я заметил, что в сгенерированном сертификате Push указано, что этот сертификат был подписан неизвестным центром. Также с ним не связан закрытый ключ.

Я подозреваю, что что-то не так при выборе сертификата в полезной нагрузке учетных данных (шаг 5).

Кроме того, когда отображается экран «Установка профиля», я получаю сообщение «Не проверено» чуть ниже имени профиля.

Решено

Для решения проблемы с неизвестным центром я установил сертификат Apple Application Integration. Теперь я могу выполнять команды MDM.

Выполнить шаги

https://drive.google.com/file/d/0B9vJDmfd2qb9RmdGNlp4OUR3eVk/view?usp=sharing https://drive.google.com/file/d/0B9vJDmfd2qb9eGlkUk44ajZrWjg/view?usp=sharing


iphone mdm
person Sahil Khanna    schedule 17.10.2011    source источник
comment
см. developer.apple.com/library/ios/#featuredarticles / equinux.com/us/products/tarmac/mdm.html   -  person Nikunj Jadav    schedule 17.10.2011
comment
Обе ссылки, которые вы разместили, не помогают. Оба говорят о том, ЧТО можно сделать с помощью MDM, но ничего о том, КАК (настроить)!!   -  person Sahil Khanna    schedule 18.10.2011
comment
Удалось настроить сервер mdm? Я пытаюсь получить пример кода, вы его случайно не открыли?   -  person Vrashabh Irde    schedule 11.10.2013
comment
@Slartibartfast: мне удалось настроить сервер MDM и успешно выполнять команды. Однако я связан соглашением о неразглашении моей компании и не могу раскрывать код. Но я могу заверить вас, что разработать код для сервера просто.   -  person Sahil Khanna    schedule 23.10.2013
comment
@Sahil Не могли бы вы опубликовать ссылки на какие-либо учебные пособия, которые вы нашли, чтобы заставить ваш сервер MDM работать? Кажется, что код легко разрабатывать после того, как вы настроите сервер, но существует ограниченная документация по фактической настройке сервера.   -  person bobcat    schedule 24.10.2013
comment
Привет, Сахил .... У меня возникает та же проблема, когда я пытаюсь установить файл конфигурации iphone на свой телефон. Я купил ssl у RapidSSL и горячий файл .cer. Когда я пытаюсь добавить часть учетных данных в эту ссылку serverfault.com/questions/278538/ не могу получить окончательный файл pkcs12 для помещения в раздел идентификации MDM в iPCU.Can подскажите пожалуйста какие сертификаты вы получили от RaidSSL и как использовали в iPCU.   -  person Imran    schedule 21.11.2014
comment
@Imran: Пожалуйста, проверьте редактирование: Complete Steps. Мы приобрели SSL-сертификат проверки домена (проверка домена, проверка организации или расширенная проверка). SSL здесь не при чем. Вам просто нужно позаботиться о промежуточных сертификатах   -  person Sahil Khanna    schedule 21.11.2014
comment
Спасибо за ответ, Сахил. Проблема, с которой я сталкиваюсь, заключается в том, что установка профиля не удалась, когда я пытаюсь добавить профиль на свой iphone. Я подозреваю, что это связано с файлом учетных данных (pkcs), который я устанавливаю. Как я понял из предыдущих вопросов, мне нужно создать файл pkcs для загрузки в часть идентификации с помощью команд ssl из ссылки serverfault.com/questions/278538/, когда я запускаю третью команду open ssl, она запрашивает сертификат CA и ключ. Поэтому я подозревал, что этот ключ я получу от Rapid SSL. пожалуйста предложить.   -  person Imran    schedule 21.11.2014
comment
Спасибо Сахил за этот документ. Он действительно полезен....   -  person Imran    schedule 22.11.2014
comment
Привет, Сахил. Спасибо за вашу помощь. Я проверил все команды, и они отлично работают для меня, но между ними есть большая проблема. Когда я устанавливаю профиль на устройство, он работает нормально, и сразу после установки я отправляю команда (скажем, блокировка) на устройство, используя путь между сервером и устройством, созданный во время установки профиля. Итак, я проверил все команды во время установки профиля. Но когда я пытаюсь подключить сервер mdm к устройству через APNS затем он не отвечает. Устройство не может быть разбужено APNS. Не могли бы вы подсказать, что не так?   -  person Imran    schedule 02.01.2015
comment
@Imran: Мало что понял из вашего комментария, но вам будет интересно узнать одну вещь: когда устройство устанавливает профиль MDM, оно трижды отправляет Push Token и другие данные на сервер MDM (это происходит в моем случае). Так что отправка команды через APNS сразу после установки профиля может не сработать. Вам нужно будет отправить команду, убедившись, что Push Token обновлен.   -  person Sahil Khanna    schedule 07.01.2015

Ответы (2)


arrow_upward
5
arrow_downward

Вам нужно всего 3 вещи

1) полезная нагрузка mdm с URL-адресом mdm, начинающимся с https://
2) сертификат, который вы загружаете с помощью портала разработчиков Apple. Это подробно описано на сайте Apple
3) Свяжите этот файл сертификата (.p12) в разделе идентификации полезной нагрузки mdm.

На вашем сервере должны быть открыты необходимые порты — это также задокументировано. Сервер должен прослушивать метод PUT, а не GET или POST.

Если вы сделаете выше - вы увидите, что ваше устройство отправляет deviceToken, pushMagic и т.д.

person Ashutosh    schedule 20.01.2012
comment
Я создал сертификат MDM на портале подготовки. Это файл .cer. Можете ли вы объяснить, что такое файл .p12 на шаге 3? - person Sahil Khanna; 31.08.2012

arrow_upward
3
arrow_downward

Во-первых, статус 405 с сервера означает, что вы пытаетесь выполнить POST на URL-адрес, который не принимает метод POST. На данный момент это не имеет ничего общего с сертификатами. Сертификат в MDM используется только для подписи сообщений MDM, поэтому все, что туда помещается, не используется, если вы не подписываете свои сообщения MDM с устройства (я бы рекомендовал не подписывать ваши сообщения MDM во время тестирования/настройки), что настраивается с помощью флажка «Подписать сообщения» в iPCU.

Общая идея с MDM заключается в том, что вы говорите устройству «звонить домой» на «URL-адрес сервера», настроенный в профиле конфигурации, когда оно получает сообщение MDM APNS. Вам придется либо написать, либо купить код, который находится на этом сервере, чтобы ответить на устройство и поступить правильно. Вы также можете настроить URL-адреса «Вернуть» и «Выйти» для взаимодействия с разными URL-адресами и, следовательно, с разными компонентами кода на сервере для обработки разных сообщений.

person Abstractec    schedule 05.01.2012