我可以使用root ca證書籤署iOS移動配置文件嗎

Question

我正在開發一個iOS移動設備管理項目，並且已經停留了數天的Over-The-Air註冊。

在Apple's Offical OTA Doc的階段1步驟4和階段2步驟1中，配置文件服務器應該發回由供應商簽名的配置配置文件，或者配置文件在iPhone上顯示爲帶紅色的「無符號」我詢問了我公司的MyCompanyRootCA.cert文件。

所以我的問題是： 根據this documentation，我可以使用這個命令的OpenSSL簽署一份簡介：

openssl smime -sign -in company.mobileconfig -out signed.mobileconfig -signer server.crt -inkey server.key -certfile cert-chain.crt -outform der -nodetach 

，但我怎樣才能得到私鑰（server.key）文件和證書捆綁（CERT -chain.crt），我可以從MyCompanyRootCA.cer獲取這些嗎？

我試過用這些命令來創建p12文件並試圖獲得私鑰。

keytool -importkeystore -srckeystore existing-store.jks -destkeystore new-store.p12 -deststoretype PKCS12 

openssl pkcs12 -in new-store.p12 -nocerts -out key.pem 
openssl rsa -in key.pem -out server.key 

我沒有使用此命令，因爲root ca證書只是一個公鑰，並且不包含任何私鑰？

我對所有的簽名過程並不十分熟悉，如果這不是一個正確的方法，請多關於如何簽名的建議，任何幫助表示感謝，謝謝。

Answer 1

您不能僅使用證書籤名。證書只包含公鑰，簽名需要私鑰。

其實你需要簽發證書MyCompanyRootCA權威。 This OpenSSL document說明如何爲此密鑰生成私鑰和證書請求（CSR）。通過這個CSR，CA服務應該能夠發行簽名證書來簽署.mobileconfig文件。

這是從CA獲取證書最常用的過程，但您應該聯繫CA操作人員​​以瞭解證書頒發的確切過程。