mobileconfig文件的签名和认证（signed、verified）

转:http://www.th7.cn/Program/wp7/201310/153269.shtml

mobileconfig文件的签名和认证（signed、verified）

一、功能描述：
鉴于我们的设备和MDM server之间已经可以通信，并能完成相应的锁屏、擦除数据、查询设备信息等功能，但是，我们在安装了mobileconfig后，返现配置描述文件打开显示 “unsigned” 或者“尚未签名”这样的情况，所以接下来的工作就是让我们的mobileconfig文件看起来更加安全一些。

二、操作步骤：
1、确保我们有如下文件：
  （1）、mbaike.crt（https服务器端使用证书文件）
  （2）、mbaike.key（https服务器端使用证书对应的密钥）
  （3）、ca-bundle.pem（startssl官网下载的跟证书文件，具体的在哪里下载，请在startssl控制面板中查找）
  （4）、unsigned.mobilecofig文件（IOS端生成的未签名的配置描述文件）

2、在linux上通过openssl命令生成签名后的signed.mobileconfig文件：
openssl smime -sign -in unsigned.mobileconfig -out signed.mobileconfig -signer mbaike.crt -inkey mbaike.key -certfile ca-bundle.pem -outform der -nodetach
注意：在使用上面的openssl命令的时候会要求输入key文件的密码，我们这里不建议使用这种方式，我们把key文件的密码写入到key文件中，这样就不需要输入密码了，详见第三步；

3、将key的密码写入key文件：
openssl rsa -in mbaike.key -out mbaikenopass.key
故，第二步中的命令变成了：
openssl smime -sign -in unsigned.mobileconfig -out signed.mobileconfig -signer mbaike.crt -inkey mbaikenopass.key -certfile ca-bundle.pem -outform der -nodetach
这样就不需要输入密码了，这一步，我们得到了signed.mobileconfig这个文件，这个文件就是我们得到的签名和认证后的文件，我们安装到移动设备中，mobileconfig配置描述文件变成了绿色的“Verified”了。

备注：因为我们的mobileconfig配置描述文件一般都是动态生成的，因为文件中含有“Check In URL” 和“Server URL ”两个动态的地址，所以需要通过java程序动态调用openssl命令来生成签名后的文件，这里我们后面介绍。