iOS MDM 生成的APSP推送证书不被钥匙串信任原因

在做MDM服务器过程中,作为MDM的服务商,申请完MDM服务,生成了MDM.cer证书,然后需要通过此证书生成推送使用的APSP证书,生成步骤如下(引用的地址:http://esoftmobile.com/2015/03/23/ios-devices-mdm/ ,网上一搜一大片,懒得再写,抄过来的):

申请Vendor

申请成为MDM Vendor

1. 首先需要拥有一个 iOS Developer Enterprise Program 帐号;
2. 申请成为MDM Vendor，iOS企业开发帐号默认不支持MDM功能，需要向苹果申请才能开通，访问 https://developer.apple.com/contact/submit.php，并通过iOS企业开发帐号Agent身份登录，提交申请说明希望成为MDM Vendor，苹果一般在一个工作日内会处理完毕，处理完后会给Agent发邮件通知，此时再次登录到开发中心Add iOS Certificate界面或多处一个“MDM SCR”选项。

申请证书

1. 在OS X上打开钥匙串，点击“钥匙串访问->证书助理->从证书颁发机构请求证书”，创建一个CSR，将此CSR存储至磁盘。记住“常用名称”字段为私钥的名字，创建CSR的同时，钥匙串“密钥”栏中会增加一个以该常用名称为名的私钥。
2. 在钥匙串中选择创建CSR时的私钥，导出为MDMVendor.p12文件，导出时会要求你设置私钥密码，如果设置密码请记住这个密码（后面会用到）。
3. 登录iOS Developer Center，进入Certificates，点击Add Certificate(“+”按钮)，选择Production下面的“MDM SCR”。

image.png

点击Continue->Continue，上传之前创建的CSR文件，然后点击Generate。点击Download，得到一个mdm.cer证书。

申请MDM Customer

1. 创建CSR

   使用钥匙串创建一个CSR，记住密钥的常用名称，导出CSR，命名为MDMCustomer.csr。

2. 获取编码的Plist文件
   python mdm_verdor_sign.py --csr MDMCustomer.csr -key 'MDMVendor.key' --mdm mdm.cer

MDMCustomer.csr提交给Vendor，Vendor对Customer提交的MDMCustomer.csr进行签名。我们使用 mdm_vendor_sign.py 工具签名：
执行完后会生成一个plist_encoded文件。

3. 获取MDM推送证书

   用iOS企业开发帐号的Apple ID登录 Apple Push Certificates Portal，选择“Create a Certificate”，上传之前的plist_encoded文件。上传后会生成一个APNS的证书，下载得到.pem文件，双击文件安装到钥匙串。打开钥匙串可查看该证书名为“APSP:xxx”：

image.png

此处是分割线,下面的内容是我的主要内容:

该证书即为MDM指令推送证书，可根据服务端需求导出p12或cer格式提供给服务端开发人员。
重点在这里, 大家发现我们生成的p12证书,在我们的mac的钥匙串并不受信任(我的电脑系统:macOS High Sierra 10.13.3), 提示如下:

image.png

可是签名机构明明是苹果的啊,我又仔细看了一下和别人的之前的文章查询发现了区别,下面的是之前的苹果的APSP证书信息:

image.png

下面是我们的当前的证书信息:

image.png

我们发现,签发者变了,有之前的 Apple Application Integration Certification Authority 变成了 Apple Application Integration 2 Certification Authority多了个2,然后我们会发现,我们系统默认的钥匙串的签发机构里面,没有这个带2的,但是有不带2的

image.png

这也就是为什么之前生成的APSP证书直接就被系统信任,而现在产生的缺不被系统信任,但是为什么苹果不将这个也植入到系统呢?换句话话.这个签发者靠谱吗?我们是不是签名签错了呢?为了验证一下,我查找了一下苹果的所有证书,地址在:https://www.apple.com/certificateauthority/,
发现苹果的证书列表如下:

image.png

我们看到了带2的这个证书,缺没有看到不带2的证书,这个让我很尴尬,然后我们下载那个带2的证书,添加到系统,(不需要修改信任策略,直接就被系统信任了) 我们会发现,我们的APSP证书瞬间变得可信任

image.png

也就是说明,添加了这个中级签发机构的证书,我们的信任链就完整了,也就是通过了系统验证,到此,可以确定我们签名没有错,
总结一下: 之所以APSP证书添加到mac系统不被信任,是因为系统的信任列表中缺少对应的签发者的证书信息,为什么没有这个,我个人猜测,应该是苹果正在一个过渡期,准备抛弃不带2的那个中间签发机构,这也可能是为什么刚刚那个不带2的证书在苹果的证书列表中找不到的原因吧,估计会有很长一段时间内,这两个证书都会共存,而且植入到系统默认的信任列表中,我个人猜的,应该是这样的 谢谢