一、准备
1、首先你要有一个 APNS 证书。
此步骤中需要注意的是 MDM Vendor 资格的获得。默认情况下,299美元的企业开发账号是没有 MDM Vendor 权限的,需要你向苹果申请(网站申请或者发邮件)。
2、还需要有一个 https 服务器。
此步骤中需要注意的是 SSL 证书的获得。自签名的 SSL 证书在 tomcat 上部署 https 服务。
值得注意的是,在 Eclipse 中运行的 tomcat 服务器和单独使用 startup.sh 脚本启动的 tomcat 服务器采用的不是同一套配置文件。如果你为tomcat 配置了 https 服务,还需要在 eclipse 中再配一次,否则 Eclipse 中运行的 tomcat 不会启动 https 服务。其server.xml 在 eclipse 的 Servers 项目下面还有一个拷贝。
3、能够编写一点点Java代码
本例的 MDM Server 是用 Java 实现的,需要写一点点简单的 Java 代码。但重点根本不在这里,MDM 实现的难点是证书及配置描述文件的配置,而不是代码。
二、MDM 配置描述文件
首先需要一个 MDM 配置描述文件,此文件用于安装到设备上,使其向 MDM 服务器注册为受管理的设备。
1、凭证
用 IPCU 新建一个配置描述文件,在“凭证”栏,创建新凭证。
1)点击“+”,将 CA 根证书添加到凭证中。
2)再次点击“+”,将私钥(.p12)添加到凭证中。
也就是说,在“凭证”中需要加入两个证书:根证书(自签名CA证书)和 MDM customer p12 证书(即 customer 在制作 certificate signingrequest 时生成的密钥对,将其从钥匙串中导出)。
根证书用于访问使用了自签名证书的 https 服务器(即后边配置的“服务器 URL”和“登记 URL”的https服务)。
而 p12 证书用于签名移动设备管理playload 。同时你要输入 p12 证书密码,否则安装配置描述文档时,中间会弹出一个对话框要你输入密码。
这些证书会在设备安装配置描述文件时自动安装到设备中。你可以利用这一点向设备安装多个根证书。例如:服务器 URL 中使用了一个https服务器,而登记 URL 中又使用了另一个不同的https服务器。这样设备在访问这些SSL 服务器时,不会要求下载客户端证书。
2、“移动设备管理”
“移动设备管理”页,需要配置如下项目:
1)服务器 URL:
填写你的 MDM 服务器地址,该 URL 用于与iOS设备通信,即发送 MDM 指令。
2)登记 URL:
填写设备注册地址,该 URL 用于设备注册。可以与服务器URL不同。
3)主题:
这个是 APNS 推送证书在钥匙串中的“用户 ID”字段复制粘贴过来的,如:
com.apple.mgmt.External.78d92bb8-ed86-4735-ba0c-e1154efed9a9
4)身份:
从下拉列表中选择一个有效的“凭证”。即前面我们在“凭证”添加的私钥。
5)访问权限
权限列表中包含“在设备中查询”、“添加/删除”、“安全性”等各项权限,你可以全部勾上,但是对于“使用开发 APNS 服务器”需要特别注意。这个是使用测试APNS 服务器(gateway.sandbox.push.apple.com)推送。对于MDM,一般不要勾选此项, 我们使用 production 服务器。
3、SCEP
如果你准备使用 SCEP,可在此填写入 SCEP 服务器 URL 和示例名称。如果你不准备实现 SCEP,请保持此项为“尚未配置”,否则描述文件不能通过验证。
4、MDM Push 证书更新
描述文件是由 MDM customer 来制作的。作为 customer,MDM Push 证书、Profile 描述文件和 customerCSR 密钥对是绑定的。也就是说,当你重新请求 MDM Push 证书时,必须重新制作Profile描述文件。这样,服务器上的 MDM Push 证书和客户端的配置描述文件必须同步更新。否则,MDM服务器上的消息将无法推送到客户端。
