Мені потрібно усунути проблеми із підписаними профілями .mobileconfig. Як я можу показати підпис цих файлів за допомогою терміналу? Чи можливо також перевірити сертифікати, які використовувались для підпису профілю?
Чи є спосіб вивести вміст XML цих файлів без підпису?
Відповіді:
Файли Apple .mobileconfig від Apple підписуються за допомогою PKCS7. Дані сертифікату підпису можуть бути показані за допомогою наступної команди:
openssl pkcs7 -inform DER -print_certs -in ~/Settings.mobileconfig
Ви можете скопіювати / вставити дані сертифіката ASCII з виводу у звичайний текстовий файл (з розширенням назви файлу .cer), щоб створити копії сертифікатів:
-----BEGIN CERTIFICATE-----
MIIElTCCA32gAwIBAgIBAjALBgkqhkiG9w0BAQswga4xQDA+BgNVBAMMN0tlbGxl
eSBDb21wdXRpbmcgT3BlbiBEaXJlY3RvcnkgQ2VydGlmaWNhdGlvbiBBdXRob3Jp
dHkxGTAXBgNVBAoMEEtlbGxleSBDb21wdXRpbmcxJTAjBgNVBAsMHE1BQ09TWCBP
...
q19fbG33zNwRhVHceYMpcbWG1MSqLxnPu4wo75OZFIJCaByZykfpKAzRZl9aa7rD
5bAuzZAziXBW7WWKce2a4hGN804W9RHco5HIGLsQAdg4pLZvENXF1+JNHtBVXjjL
WJrCDKjnCyS1DqmJqijk9KIDM8gP6iLLeQ==
-----END CERTIFICATE-----
OpenSSL також може бути використаний для перевірки сертифіката підпису коду. Припускаючи, що ми скопіювали текст / дані сертифіката CA підпису ~/CA.crtі скопіювали у нього сертифікат підпису коду ~/CodeSigner.crt.:
openssl verify -CAfile ~/CA.crt ~/CodeSigner.crt
Видалення підпису з файлу можна виконати за допомогою цієї команди:
openssl smime -inform DER -verify -in ~/Settings.mobileconfig -noverify -out ~/Unsigned.mobileconfig