在MDM入學SCEP一步

Question

IOS PKIOperation簽名證書的通用CN我開發MDM Server和我有一個問題的招生步驟之一。問題是scep步驟。我實現了一個處理設備CACert請求的scep服務器，並以der格式發送我們的服務器證書。之後，設備發送加密並簽名的csr。
但我無法驗證消息的簽名。我認爲設備會創建一個自簽名證書並簽署消息。我們認爲，因爲簽名證書的通用名稱正在改變每個「PKIOperation」請求。但是由於安全性，我們必須驗證這個簽名。

例如，在每個3註冊請求，CSR的簽名的變化的證書。他們共同的名字是：

CN=6E4F65AD-1E64-4E4D-A96E-2039EB140041 

CN=2E33C2CC-14B8-47AC-938B-DCC7F8DA8715 

CN=6817ED48-AB79-4FF0-A1A9-42C2AC303672 

注：入學設備登錄的消息與適當的證書其它步驟，我可以證實他們。只有scep PKIOperation請求是我的問題。是否有任何配置文件標誌設置或解決這個問題？

Answer 1

我可能是錯在一些細節上，因爲我在大約兩年前觸及這一點。

不過，我記得這是一個協議

的一部分，如果你看一看SCEP草案：http://tools.ietf.org/html/draft-nourse-scep-23#page-30你會看到：

When building a pkiMessage, clients MUST have a certificate to sign 
the PKCS#7 [RFC2315] signed-data (because PKCS#7 [RFC2315] requires 
it). Clients MUST either use an existing certificate, or create a 
self-signed certificate (see Section 2.3). 

-

If the requester does not have an appropriate existing 
certificate, then a locally generated self-signed certificate 
MUST be used instead. The self-signed certificate MUST use the 
same subject name as in the PKCS#10 request. 

然而，我的印象是，iOS設備使用內置在設備中的證書/私鑰。此證書使用Apple證書籤署。實際上，正如我記得的那樣，他們的格式完全符合您所顯示的CN。

所以，一般來說，如果設備使用自簽名證書到SCEP服務器（PKIOperation）第一通信，並使用您的CA以後頒發的證書它的確定。