{"id":21658,"date":"2024-04-29T04:08:44","date_gmt":"2024-04-29T02:08:44","guid":{"rendered":"http:\/\/blog.wenzlaff.de\/?p=21658"},"modified":"2024-04-28T20:28:10","modified_gmt":"2024-04-28T18:28:10","slug":"wie-kann-eine-mobileconfig-fuer-apple-geraete-signiert-werden","status":"publish","type":"post","link":"http:\/\/blog.wenzlaff.de\/?p=21658","title":{"rendered":"Wie kann eine mobileconfig f\u00fcr Apple Ger\u00e4te (iPhone, iPad, iMac …) signiert werden?"},"content":{"rendered":"

Mit dem Apple Configurator erstellte Profile k\u00f6nnen in Apple Ger\u00e4te \u00fcbertragen werden. Diese mobileconfig-Dateien sind XML Dateien. Wenn man die signiert, wird in den Profilen ein gr\u00fcner Haken und \u00fcberpr\u00fcft in gr\u00fcn angezeigt. Sonst steht da, nicht signiert in ROT. <\/p>\n

\"\"<\/p>\n

und man hat noch weitere Vorteile. Der Apple Configurator ist ein Tool das haupts\u00e4chlich f\u00fcr die Verwaltung von iOS- und macOS-Ger\u00e4ten in Unternehmen, Schulen und anderen Organisationen verwendet wird. Es erm\u00f6glicht die Massenkonfiguration und Verwaltung von iOS- und macOS-Ger\u00e4ten \u00fcber eine benutzerfreundliche grafische Benutzeroberfl\u00e4che. Es hilft auch schon, wenn man ein Ger\u00e4t hat, denn mache Einstellungen kann man nur \u00fcber Profile einstellen, und f\u00fcr meine 6 Ger\u00e4te wird die Verwaltung auch schon einfacher.<\/p>\n

Nun zu einem kleinen Beispiel, wir wollen Zertifikate in ein Profile<\/a> importieren und die Profile Datei signieren. Hier nun die n\u00f6tigen Schritte:<\/p>\n

Ich habe mal drei Zertifikate (Root, Intermediate und User-Zertifikat) mit meiner XCA<\/a> erstellt, die auf einem Raspberry Pi 4 (headless) l\u00e4uft (und auch auf iMac) und zwar so:<\/p>\n

\"\"<\/p>\n

Mit diesen Keys:<\/p>\n

\"\"<\/p>\n

Das Intermediate Zertifikate (public und private Key) habe ich aus der XCA zum signieren exportieren. Und die 3 public Zertifikate (Root, Intermediate, User) habe ich exportiert. Die public Zertifikate habe ich dann im Apple Configurator wie folgt importiert, und als Zertifikate.mobileconfig<\/strong> Datei gespeichert.
\nHier mal eine gek\u00fcrze Version der XML Datei:<\/p>\n

<?xml version=\"1.0\" encoding=\"UTF-8\"?>\r\n<!DOCTYPE plist PUBLIC \"-\/\/Apple\/\/DTD PLIST 1.0\/\/EN\" \"http:\/\/www.apple.com\/DTDs\/PropertyList-1.0.dtd\">\r\n<plist version=\"1.0\">\r\n<dict>\r\n\t<key>ConsentText<\/key>\r\n\t<dict>\r\n\t\t<key>default<\/key>\r\n\t\t<string>F\u00fcgt das Root CA, Intermediate und Benutzer Zertifikate von wenzlaff.de hinzu<\/string>\r\n\t<\/dict>\r\n\t<key>PayloadContent<\/key>\r\n\t<array>\r\n\t\t<dict>\r\n\t\t\t<key>PayloadCertificateFileName<\/key>\r\n\t\t\t<string>wenzlaff_root_ca.crt<\/string>\r\n\t\t\t<key>PayloadContent<\/key>\r\n\t\t\t<data>\r\n\t\t\tLS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUdWVENDQkQy\r\n\t\t\tZ0F3SUJBZ0lJYUtRR0lZUHlhcFF3RFFZSktvWklodmNOQVFFTEJR\r\n\t\t\tQXdnWjR4Q3pBSkJnTlYKQkFZVEFrUkZNUll3RkFZRFZRUUlFdzFP\t\r\n                        ...\r\n\t\t\tK25xMXdiZW1aK2VYclc3cDRneWZkVTVzVE9OajVmY2lzNjBOdHhL\r\n\t\t\tK1RBa0U9Ci0tLS0tRU5EIENFUlRJRklDQVRFLS0tLS0K\r\n\t\t\t<\/data>\r\n\t\t\t<key>PayloadDescription<\/key>\r\n\t\t\t<string>CA-Stammzertifikat hinzuf\u00fcgen<\/string>\r\n\t\t\t<key>PayloadDisplayName<\/key>\r\n\t\t\t<string>wenzlaff root ca<\/string>\r\n\t\t\t<key>PayloadIdentifier<\/key>\r\n\t\t\t<string>com.apple.security.root.DB8B...B7<\/string>\r\n\t\t\t<key>PayloadType<\/key>\r\n\t\t\t<string>com.apple.security.root<\/string>\r\n\t\t\t<key>PayloadUUID<\/key>\r\n\t\t\t<string>DB8B...8B7<\/string>\r\n\t\t\t<key>PayloadVersion<\/key>\r\n\t\t\t<integer>1<\/integer>\r\n\t\t<\/dict>\r\n\t\t<dict>\r\n\t\t\t<key>PayloadCertificateFileName<\/key>\r\n\t\t\t<string>wenzlaff_intermediate.crt<\/string>\r\n\t\t\t<key>PayloadContent<\/key>\r\n\t\t\t<data>\r\n\t\t\tLS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUZXakNDQTBL\r\n\t\t\tZ0F3SUJBZ0lJSEZSaUZIeU9hWU13RFFZSktvWklodmNOQVFFTEJR\r\n\t\t\t...\r\n\t\t\tL1M3SStFbDVJTGFWT2JPUQotLS0tLUVORCBDRVJUSUZJQ0FURS0t\r\n\t\t\tLS0tCg==\r\n\t\t\t<\/data>\r\n\t\t\t<key>PayloadDescription<\/key>\r\n\t\t\t<string>PKCS#1-formatiertes Zertifikat hinzuf\u00fcgen<\/string>\r\n\t\t\t<key>PayloadDisplayName<\/key>\r\n\t\t\t<string>wenzlaff intermediate<\/string>\r\n\t\t\t<key>PayloadIdentifier<\/key>\r\n\t\t\t<string>com.apple.security.pkcs1.EF280C...9<\/string>\r\n\t\t\t<key>PayloadType<\/key>\r\n\t\t\t<string>com.apple.security.pkcs1<\/string>\r\n\t\t\t<key>PayloadUUID<\/key>\r\n\t\t\t<string>EF28...3B9<\/string>\r\n\t\t\t<key>PayloadVersion<\/key>\r\n\t\t\t<integer>1<\/integer>\r\n\t\t<\/dict>\r\n\t\t<dict>\r\n\t\t\t<key>PayloadCertificateFileName<\/key>\r\n\t\t\t<string>wenzlaff_apple_doh.crt<\/string>\r\n\t\t\t<key>PayloadContent<\/key>\r\n\t\t\t<data>\r\n\t\t\tLS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUVXVENDQTBH\r\n\t\t\tZ0F3SUJBZ0lJTFpyM0gvS1BPMXN3RFFZSktvWklodmNOQVFFTEJR\r\n\t\t\t...\r\n\t\t\tSwpQRXNGTi9RKy9TNEpGcVQyOFE9PQotLS0tLUVORCBDRVJUSUZJ\r\n\t\t\tQ0FURS0tLS0tCg==\r\n\t\t\t<\/data>\r\n\t\t\t<key>PayloadDescription<\/key>\r\n\t\t\t<string>PKCS#1-formatiertes Zertifikat hinzuf\u00fcgen<\/string>\r\n\t\t\t<key>PayloadDisplayName<\/key>\r\n\t\t\t<string>wenzlaff apple doh<\/string>\r\n\t\t\t<key>PayloadIdentifier<\/key>\r\n\t\t\t<string>com.apple.security.pkcs1.E5897...68C9<\/string>\r\n\t\t\t<key>PayloadType<\/key>\r\n\t\t\t<string>com.apple.security.pkcs1<\/string>\r\n\t\t\t<key>PayloadUUID<\/key>\r\n\t\t\t<string>E5897...8C9<\/string>\r\n\t\t\t<key>PayloadVersion<\/key>\r\n\t\t\t<integer>1<\/integer>\r\n\t\t<\/dict>\r\n\t<\/array>\r\n\t<key>PayloadDescription<\/key>\r\n\t<string>F\u00fcgt alle Zertifikate aus der XCA von wenzlaff.de hinzu<\/string>\r\n\t<key>PayloadDisplayName<\/key>\r\n\t<string>TW CA Zertifikate wenzlaff.de<\/string>\r\n\t<key>PayloadIdentifier<\/key>\r\n\t<string>de.wenzlaff.apple-ca-cert<\/string>\r\n\t<key>PayloadOrganization<\/key>\r\n\t<string>TW-Soft<\/string>\r\n\t<key>PayloadRemovalDisallowed<\/key>\r\n\t<false\/>\r\n\t<key>PayloadType<\/key>\r\n\t<string>Configuration<\/string>\r\n\t<key>PayloadUUID<\/key>\r\n\t<string>198C1...004<\/string>\r\n\t<key>PayloadVersion<\/key>\r\n\t<integer>1<\/integer>\r\n<\/dict>\r\n<\/plist>\r\n<\/pre>\n
Die signierte Datei hat vor und nach der XML-Datei noch die bin\u00e4re Signatur.<\/p>\n
\"\"<\/p>\n
Diese Datei k\u00f6nnte so auch schon in das Apple Ger\u00e4t \u00fcbertragen werden, hat dann aber keine gr\u00fcnen Haken und man bekommt \u00c4nderungen nicht mit.<\/p>\n
Deshalb die Datei mit openssl<\/strong> wie folgt mit dem Intermediate Key auf der Kommandozeile signieren:<\/p>\n
\r\n\r\nopenssl smime -sign \r\n-in TW-Zertifikate-wenzlaff.mobileconfig \r\n-out TW-Zertifikate-wenzlaff-signiert.mobileconfig  \r\n-signer wenzlaff_intermediate.crt  \r\n-inkey wenzlaff_intermediate_private_key.pfx \r\n-outform der -nodetach\r\n\r\n# Dann noch, wenn diese Meldung kommt:\r\n# Enter pass phrase for PKCS12 import pass phrase:\r\n# das Passwort vom Intermediate Zertifikat eingeben\r\n<\/pre>\n
Man hat dann eine mit dem Intermediate Key signierte Profile Datei TW-Zertifikate-wenzlaff-signiert.mobileconfig<\/strong>, die man per Air-Drop oder E-Mail \u00fcbertragen kann. Nach aktivierung des Profils, sieht es dann so aus:<\/p>\n
\"\"<\/p>\n
Hier nochmal der ganze Prozess als BPMN Diagramm im Detail als Zusammenfassung:<\/p>\n
\"\"<\/p>\n
Sp\u00e4ter zeige ich noch, wie ein VPN<\/strong> und DNS-over-HTTPS<\/strong> Profil erstellt werden kann. Die werden dann, mit diese Zertifikate signiert, dazu aber sp\u00e4ter mehr…<\/p>\n","protected":false},"excerpt":{"rendered":"
Mit dem Apple Configurator erstellte Profile k\u00f6nnen in Apple Ger\u00e4te \u00fcbertragen werden. Diese mobileconfig-Dateien sind XML Dateien. Wenn man die signiert, wird in den Profilen ein gr\u00fcner Haken und \u00fcberpr\u00fcft in gr\u00fcn angezeigt. Sonst steht da, nicht signiert in ROT. und man hat noch weitere Vorteile. Der Apple Configurator ist ein Tool das haupts\u00e4chlich f\u00fcr … <\/p>\n
\u201eWie kann eine mobileconfig f\u00fcr Apple Ger\u00e4te (iPhone, iPad, iMac …) signiert werden?\u201c <\/span>weiterlesen<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[220,4606,214,40,1319],"tags":[270,1014,415,2232,5971,3549,5969,2190,1728,4664,308,5970,989,5799,102,2235,1021],"class_list":["post-21658","post","type-post","status-publish","format-standard","hentry","category-anleitung","category-crypto","category-ipad","category-iphone","category-sicherheit-2","tag-apple","tag-ca","tag-dns","tag-https","tag-intermediate","tag-mobileconfig","tag-profile","tag-raspberry-pi","tag-root","tag-signieren","tag-user","tag-verwaltung","tag-vpn","tag-xca","tag-xml","tag-zertifikat","tag-zertifikate"],"_links":{"self":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/posts\/21658","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=21658"}],"version-history":[{"count":0,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/posts\/21658\/revisions"}],"wp:attachment":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=21658"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=21658"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=21658"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}