1、成爲一個 MDM Vendor
(1)首先你需要擁有一個 Apple Enterprise account($299/年);
(2)訪問 https://developer.apple.com/contact/submit.php,在這裏你可以申請成爲一個 MDMVendor:蘋果的承諾是一個工作日內處理完畢,處理好會向你的郵箱發送一封通知郵件,並在郵件中提供一些 MDM 相關的文檔鏈接。實際上的時間可能會比這個稍長一些,以筆者爲例,是在一個半天后收到亞洲蘋果的郵件回覆。如果申請得到同意,則會在Portal 的 Add Certificate 中多出一個“MDM CSR”選項。
2、創建證書申請
打開鑰匙串,點擊“鑰匙串訪問->證書助理->從證書頒發機構請求證書”,創建一個 CSR。將此 CSR 存儲至磁盤。記住“Common Name”字段應該是私鑰的名字,創建CRS 時會同時創建一個私鑰,這個私鑰名字(Common Name)會顯示在鑰匙串中。
3、導出私鑰
在鑰匙串中選擇創建 CSR 時的私鑰,導出爲vendor.p12文件。導出時會要求你設置私鑰密碼。請記住這個密碼。
注意,如果使用 mdm_vendor_sign.py 對 customer 的 csr 進行簽名,則需要將私鑰導出爲 pem 格式(.key文件):
openssl pkcs12 -in vendor.p12 -nocerts -out vendor.key
會要求你輸入3次密碼:vendor.p12 的密碼、vendor.key 的密碼、vendor.key 的密碼。
4、提交 CSR登錄 Portal,進入 Certificates->All,點擊 Add Certificate(“+”按鈕),選擇Production 下的“MDM CSR” 。
點 Continue->Continue,上傳第二步中創建的 CSR,然後點 Generate。
點擊 Download,將得到一個 mdm.cer。
5、證書轉換:cer->pem
下載蘋果 WWDR 證書和蘋果根證書:
http://www.apple.com/certificateauthority/
轉換 mdm.cer,WWCR 證書和蘋果根證書爲 pem 格式:
openssl x509 -inform der -in mdm.cer -out mdm.pem
openssl x509 -inform der -in AppleWWDRCA.cer -out intermediate.pem
openssl x509 -inform der -in AppleIncRootCertificate.cer -out root.pem
注意:如果你使用mdm_vendor_sign.py 腳本簽名 vendor 的 plist 文件,則 此步可省略。
二、MDM Customer
1、創建一個 CSR
使用鑰匙串創建 CSR,記住密鑰對常用名稱(便於導出)。
導出 CSR。文件名: MDMCustomer.csr。
2、轉換 CSR->cer
openssl req -inform pem -outform der -in customer.csr -out customer.der
注意,如果使用 mdm_vendor_sign.py 腳本可省略此步。
3、從 vendor 獲取編碼的 plist 文件
customer 將 MDMCustomer.csr 或者 MDMCustomer.csr 提交 vender。
剩下的事情由 vendor 進行。作爲 vendor,需要用 mdm_vendor_sign.py 腳本命令( mdmvendorsign-master.zip)或者softthink 的 java 代碼(Softhinker.zip)對 customer 提交的 customer.der 進行簽名。
這兩個工具的下載地址:
https://github.com/grinich/mdmvendorsign
http://www.softhinker.com/in-the-news/iosmdmvendorcsrsigning/Softhinker.zip?attredirects=0&d=1
以下我們以 mdm_vendor_sign.py 爲例。
執行命令:
python mdm_vendor_sign.py --csr MDMCustomer.csr --key 'vendor.key' --mdm mdm.cer
執行結果將生成一個 plist_encoded 文件。
注意,mdm_vendor_sign.py 腳本只需要3個文件:customer 的 CSR、mdm 私鑰、mdm 證書。它不需要 WWDR 證書和蘋果根證書,也不需要進行復雜的證書格式轉換。WWDR和蘋果根證書的下載以及 pem 格式轉換都是由腳本自動進行的。因此要比用 java 代碼簽名簡單得多。
4、上傳 plist
用你的 Apple ID 登錄 https://identity.apple.com/pushcert/ ,點擊“Create aCertificate”,上傳 plist 文件。
使用 java 代碼簽名的請注意,不要上傳 plist.xml,而是上傳 plist_encoded。
上傳後會產生一個 APNS 證書,下載後得到一個 .pem 文件(爲方便使用,改名爲 push_cert.pem)。雙擊 .pem 文件將證書安裝到鑰匙串中。打開鑰匙串,看看到該證書名爲“APSP:”,如下圖所示:
