[HowTo] mobileconfig signieren

[HowTo] mobileconfig signieren

Wie signiere ich ich ein mobileconfig? Hier eine kurzer Waschzettel.

Ich hab einige Macs bzw. iOS Devices die ich selbst nutze bzw. um die ich mich aus dem Familien- & Freundeskreis kümmere.

Jetzt jemandem erklären per Telefon,Skype oder Email wie er was einstellt wird kompliziert wenn es mehren Sachen sind die einzurichten sind.

Nun hat Apple da den schönen iPhone Configurator mit dem man ein entsprechendes Konfigurations-Profil erstellen kann.

Viele Dinge kann man in ein Profil packen:

iC-Möglichkeiten

 

 

 

Hier ein kleiner Auszug über die Möglichkeiten über die will ich mich jetzt nicht hier auslassen.

 

 

 

 

Wenn man das Konfigurations-Profil jetzt auf sein iPhone installieren möchte bekommt man folgendes zu sehen:

unsigniertes Profil

 

Man kann dieses Profil nun zwar installieren aber man wird (zurecht auch) von iOS drauf hingewiesen das es ein unsigniertes Profil ist.

 

Um jetzt den “betreuten” Nutzern nicht noch Angst einzujagen will man das einfach nicht haben und das Profil muss signiert werden.

 

 

 

Jetzt hab ich einige Zeit mir einen Handkoffer zusammen gesucht und keine so richtige Anleitung gefunden die auf Anhieb funktionierte oder nicht gerade für Leute geschrieben ist die nicht Entwickler sind. Ausserdem fand ich keine bisher in Deutsch! Einen Teil hatte ich schon ausgefunden bevor ich für das letzte Puzzlestück diese englische Anleitung gefunden hatte.


 

Da ich meine Domains mit einem StartSSL-Zertifikat ausgestattet hatte und diese auf den aktuellen System installiert sind lag die Idee nahe es damit zu machen.

Für Leute mit z.b. einem Developer-Zertifikat oder ähnlichem funktioniert das genauso. Entsprechend wären die Dateien bei Punkte 2,3 und 4 einfach auszutauschen. Habe da aber nicht genau nachgeforscht ggf. kann ein Developer sich dazu mal in den Kommentaren auslassen. Ich ergänze es dann hier 🙂

In meinem Fall nutzte ich dazu das SSL-Zertifikat was ich für meinen Domain habe. Man kann es aber auch mit einem Email-Zertifikat signieren. Bei Interesse ergänze ich die Anleitung darum.

So jetzt fangen wir an was wir brauchen um es zu signieren:

  1. konfiguration-unsigniert.mobileconfig = ist eure erstelltes & unsigniertes Profil
  2. server-ssl.crt = das SSL-Zertifikat inkl. Zwischenzertifikat (siehe hier ganz unten wie man dieses erstellt)
  3. server-Private.key ist der Private Key den man angelegt hat für das StartSSL-Zertifikat.
  4. ca-bundle.crt ist das certificate bündle von StartCom die das StartSSL-Zertifikat ausstellen. Ich habe das komplette Bündle genommen dort sind alle Zertifikate enthalten (Class 1,Class 2,etc…; jenachdem was ihr euch dort geklickt habt) Dieses findet ihr hier zum downloaden.
  5. konfiguration-signiert.mobileconfig wird dann unser signiertes Profil sein.

 

So jetzt darf man das Terminal öffnen denn dieses wird benötigt um unsere Konfigurations-Profil zu signieren.

Genutzt wird openssl zum signieren.

Folgendes Kommando

openssl smime -sign -in konfiguration-unsigniert.mobileconfig -out konfiguration-signiert.mobileconfig -signer server-ssl.crt -inkey server-Private.key -certfile ca-bundle.crt -outform der -nodetach

Die Argumente “-outform der -nodetach” muss man setzten damit iOS es im richtigen Format vorgesetzt bekommt.

 

So und jetzt sind unser mobileconfig beim Installieren so aus:

signiertes Profil

 

 

 

 

 

 

 

 

Noch Fragen? Verbesserungen? Oder einfach nur Feedback nutzt die Kommentarfunktion. Flattern dürfte ihr natürlich auch gerne.