iOS MDM详解（2）— 证书的制作

简介

这个证书就是MDM Server 和 APNs推送消息所需要的证书，当然和APP推送证书完全不同，虽然功能差不多。

MDM中分为Vendor 和Customer两个角色，即服务商和用户。

如果你有个企业开发者账号，没错就是$299的那个，你既可以是Vendor,也可以是Customer。作为一个Vendor，你可以为Customer的证书请求文件颁发个用于签名的证书。

如果你仅仅是个Customer也就是没有$299的账号，只能等Vendor给你颁发个.cer证书、签名产生个plist_encoded 文件，然后提交到https://identity.apple.com/pushcert/，如果文件不正确会提示格式错误，若正确会生成一个用于推送的证书mdm.pem。

以下以一个Vendor的角色进行以下操作。

1、 开通MDM服务功能

默认的企业开发者账号没有开通MDM服务,需要申请开通MDM服务成为Vendor，输入企业账号和密码登录，提示你填写一些东西申请服务。如果你按要求填写了，提交了，然后就是傻傻的等待了。当时我提交后一周后也没反应，索性直接打电话人工客服，一分钟搞定。如果开通成功后会发邮箱通知，然后在制作证书的时候会出现MDM CSR选项。如下：

2、生成MDM证书

作为一个vendor首先要生成个用于签名的.cer证书，具体步骤如下

• 打开钥匙串生成mdm_vendor.certSigningRequest

• 导出秘钥mdm_vendor.p12记住导出密码下面签名时会用到

• 登录开发者中心制作MDM CSR类型的证书，下载即得到证书mdm.cer。此证书用来为customer生成的.csr证书文件签名。

作为一个customer

• 终端中生成customer.csr文件

    openssl genrsa -des3 -out customerPrivateKey.pem 2048
    openssl req -new -key customerPrivateKey.pem -out customer.csr
  

  或者利用钥匙串生成，然后以.csr后缀保存，然后导出秘钥.p12格式并记住密码

• 提交customer.csr文件 给vendor 进行签名处理。

对customer.csr签名

关于customer.csr文件的签名网上普遍有两种方法，一个Python脚本，一个时Java版的Softthinker,在此使用Python脚本。

Python脚本源代码，使用过程中可能由于Mac中python版本有问题，无法下载所需的AppleIncRootCertificate.cer和AppleWWDRCA.cer 这两个官方提供的 证书。所以改了下脚本，直接把证书文件下载到本地。

根据要求需要把 mdm_vendor.p12 转化为 mdm_vendor.key格式的:

openssl pkcs12 -in mdm_vendor.p12 -nocerts -out mdm_vendor.key

然后在终端中执行以下操作

python mdm_vendor_sign.py 
--key mdm_vendor.key  
--csr customer.csr 
--mdm mdm.cer 
--root AppleIncRootCertificate.cer 
--WWDR AppleWWDRCA.cer 

执行过程中提示输入密码密码，结束，目录下多出一个"plist_encoded"的签名文件。
执行结果如图:

——————

我的目录文件截图:

我用于签名的Python文件为了方便操作在源文件的基础上做了些修改。

到https://identity.apple.com/pushcert/ 提交 生成的plist_encoded文件，如果文件有问题会提示无效的文件，如果一切正常会生成我们最后需要的MDM_Certificate.pem的证书，以后server和APNs通信就是需这个证书。

3、验证MDM_Certificate.pem证书有效性并进行格式转化

以上得到了MDM_Certificate.pem,那么我们得到的这个是不是正确的呢？我们可以再终端中验证一下：

openssl s_client -connect gateway.push.apple.com:2195 -cert MDM_Certificate.pem -key customerPrivateKey.pem -debug -showcerts -status

如果提示了错误，或连接直接closed则证书有问题。如果一直一直处于等待输入状态，输入任意、退出则证书是有效的。

接下来几乎网上所有的文章都是这样的

双击MDM_Certificate.pem安装，查看证书信息如图

其中用户ID : com.apple.mgmt.External.* 这个很重要，在配置.mobileconfig文件要用到。

然后就没了，还有人说直接导出为.p12格式。但是为啥我的安装后根本导不出p12格式呢? 我们是Java后台所以需要p12格式的，这里就需要进一步的格式转化了。

在终端中:

openssl pkcs12 -export -in MDM_Certificate.pem -out MDM_Certificate.p12 -inkey customerPrivateKey.pem

4、至此得到和APNs通信的证书MDM_Certificate.p12。

把证书和密码交给我们的后端人员，证书制作完成，是不是和APP的推送证书完全不同？我感觉完全是两个概念。