好了，看这个图 。

有两个小盒子，这意味着一个给定的轮廓应该如何进行签名。

在第2阶段，第1步，它说：“苹果公司颁发的证书”，但它并没有说苹果公司颁发的证书（他们发行不超过一个）。 我已经尽了开发者证书和MDM（APNS）证书。 这是不是其中之一。 是否有第三种魔证书不知何故，我需要（和我怎么得到它）？

在第3阶段，第2步，它说：“身份证书”，但同样是在细节上有点粗略。 我知道的是安装在设备上，使用设备的私有密钥的唯一的身份证明，如何在服务器应该使用该签署的个人资料？

我已经得到这个工作的唯一办法，就是创建自己的自签名的证书，并预安装在设备上。 显然，这不是一个优雅的或者特别安全的方式来做事。

后续的问题

我的服务器证书是由“DigiCert高保证EV根CA”出台，并在名单上： http://support.apple.com/kb/ht5012 ，但签约配置文件时，iOS 6的设备认为“不可信”，但就好了对于SSL这是奇怪的。 iOS 5的设备都很好，虽然。 任何想法，为什么？

我真的不明白的加密位两种。 从MDM文件：“每个设备都必须有一个唯一的客户身份证明，您可以提供这些证书，PKCS＃12容器，或通过SCEP使用SCEP建议，因为该协议确保只存在于对身份的私钥。设备。”

虽然我同意这是最终更安全，只有设备本身知道其私有密钥，它是作为一个2048位公共密钥只能用于加密约100字节的数据存在一些问题，这是远远不够的，即使是最小的可能有效载荷。

让我走在第2阶段和第一阶段3

在阶段2，步骤1，iOS装置将发送到由设备证书/密钥（每个设备预装了证书/密钥，其为每个设备是不同的）签署的服务器响应。 这些设备上的证书/密钥是由苹果公司发出。

在服务器端，你应该使用苹果根Cetificate验证。

在第2阶段，步骤1-3您的个人资料服务将发送SCEP请求。 这SCEP请求中包含的信息，让设备知道哪个SCEP服务器应该说话。 这SCEP服务器是您的服务器。 因此，设备会跟这个SCEP服务器将请求来自它的新身份证明。

在第3阶段，第2步装置响应将与该身份证书的证书/密钥进行签名。 现在你应该用你的证书颁发机构根证书验证。 （第2阶段还要说明一点SCEP服务器代理到你的证书权威样-的）

现在回答你的问题“MDM轮廓signining，要使用的证书？”

MDM配置文件可以加密和/或签名。

如果你想对它进行加密，您可以使用此设备相关的身份证明文件加密。 因此，设备具有此标识的密钥，因此它可以解密。

如果你要签名，你与你的服务器密钥签名。 设备应安装一个服务器证书，因此它可以验证签名。

BTW。 在这个问题上。 这是不是这个图上，但通常有一件事是报应 - 第一步（全本入学前）通常是安装服务器证书（未来的个人签名验证）的。 潜在的，如果你的服务器证书是由众所周知的CA（例如如Verisign或类似的东西）发出你可以跳过这一步。

让我知道，如果您有任何后续问题。 我花了一段时间来了解整个这个OTA / MDM招生。

更新1

我不知道为什么iOS 6的对待你的证书不可信的签名。 我没有这是由知名CA的签名证书工作。

我只有一个猜测。 这可能是iOS 5及iOS 6的之间，他们改变有关的钥匙链什么的。 一般来说，每个应用程序都有它自己的钥匙链。 和所有知名的证书，我相信应该存储在移动Safari的钥匙串。 这可能是MDM /首选项在iOS 6中分享了这个钥匙扣MobileSafari，现在他们不分享。 在这种情况下，你将不得不通过一个配置文件来安装这个“DigiCert高保证EV根CA”（把它放在正确的钥匙圈）。 然而，这是胡乱猜测。

关于加密。 首先，你是对的，如果每个设备都有它自己的私有密钥，它的方式更安全。 在这种情况下，如果有人会窃取个人资料，他们将无法解密它（因为只有一个设备具有私钥这样做）。 这是特别重要的是，如果您要发送下降，这是敏感的个人资料（为例，电子邮件帐户与两个用户名和密码）。

非常高的水平引入加密：

任意键（具有任何长度）可以加密任意长度的数据。 所有的加密算法设计的方式，你可以使用相同的密钥来加密任何数量的数据。

非对称算法（如RSA）很少用于将数据直接加密。 在大多数情况下，该算法用于加密对称算法的密钥（如实施例AES）和以下的所有加密/解密是使用AES来完成。 有两个原因：性能（AES更快然后RSA）和资源（AES是比资源RSA饿以下）。

所以，作为结果，如果你需要加密配置文件使用PKCS7 ，这是内部使用RSA，AES（或其他算法）。 通常情况下，你有一个图书馆这样做（OpenSSL的或BouncyCastle的）。 所以，你不必弄清楚所有这些复杂性。

BTW。 如果您有任何疑问这是不般配的SO，欢迎您直接联系我（在我的个人资料我的联系信息）。