ios - SCEP 身份证书更新

Question

我正在构建一个 IOS MDM 服务器。我已经实现了 SCEP 服务器来处理 GetCACert、GetCACaps 和 PKIOperation。

本人已签发有效期为3年的身份证件。稍后我将使用颁发的公共(public)身份证书来验证 MDM 签名和加密。

现在我的问题是，

问题一:身份证件3年后过期怎么办？到期前如何续费？

出于测试目的，我从我的 SCEP 服务器颁发了过期的身份证书。我得到了 Update Profile 选项，如 this question 中所述.
但问题是，

问题 2:有什么方法可以使这个过程自动化？如果配置文件中的任何证书即将过期，而不是等待用户调用更新过程，我们是否应该将其自动化？

问题3:另外一个有趣的事情是，即使在身份证书过期之后，我仍然能够发送使用过期证书加密的远程管理命令。设备也用相应的私钥对其进行解密，命令成功执行。我在这里错过了什么吗？如果过期证书有效，那么更新它有什么意义呢？如果我错了，请纠正我。

Answer 1

身份证件3年后过期怎么办？证书过期前如何续费？
证书过期前应该续费。如果未删除，配置文件将变为红色，您将获得更新配置文件 选项。通过单击更新配置文件 选项，设备会向配置文件 URL 发送 HTTP 请求。作为响应，您可以重新发布配置文件以及 SCEP 有效负载以生成新的身份证书。

所有这些事情都是在手动单击“更新配置文件”选项后发生的。有什么方法可以使这个过程自动化？如果配置文件中的任何证书将要过期，而不是等待用户调用更新过程，我们是否应该自动执行此操作？
是的，你可以。在证书过期之前(您应该能够识别 MDM 服务器中即将过期的身份证书，因为这些证书应该被保留以供以后加密和签名验证)，您可以向设备发送 InstallProfile 命令使用更新的配置文件。有效载荷可以有 MDM、SCEP 有效载荷。请注意，您不能更改 Topic、ServerURL、CheckinURL 和 Upgrade 访问权限。由于发送了 SCEP 负载，证书注册过程将重新开始，您可以颁发具有新有效期的证书。

另一个有趣的事情是，即使在身份证书过期后，我也能够发送使用过期证书加密的远程管理命令。
请引用this question .您可以使用过期证书加密数据。如果证书过期，私钥可能会被放弃或泄露。因此，要接受证书的客户端如果不想使用被遗弃或泄露的私钥的公钥对，则应验证其到期日期。这里的客户端是 MDM 服务器，私钥所有者是设备。也许无论如何都不能放弃设备的私钥。所以解密工作正常。