Necesito solucionar problemas con los perfiles firmados de .mobileconfig. ¿Cómo puedo mostrar la firma de estos archivos utilizando Terminal? ¿También es posible verificar los certificados que se usaron para firmar el perfil?
¿Hay alguna forma de generar el contenido XML de estos archivos sin la firma?
Los archivos .mobileconfig de Apple se firman utilizando PKCS7. Los datos del certificado de firma se pueden mostrar usando el siguiente comando:
openssl pkcs7 -inform DER -print_certs -in ~/Settings.mobileconfig
Puede copiar / pegar los datos del certificado ASCII de la salida en un archivo de texto plano (con una extensión de nombre de archivo .cer) para crear copias de los certificados:
-----BEGIN CERTIFICATE-----
MIIElTCCA32gAwIBAgIBAjALBgkqhkiG9w0BAQswga4xQDA+BgNVBAMMN0tlbGxl
eSBDb21wdXRpbmcgT3BlbiBEaXJlY3RvcnkgQ2VydGlmaWNhdGlvbiBBdXRob3Jp
dHkxGTAXBgNVBAoMEEtlbGxleSBDb21wdXRpbmcxJTAjBgNVBAsMHE1BQ09TWCBP
...
q19fbG33zNwRhVHceYMpcbWG1MSqLxnPu4wo75OZFIJCaByZykfpKAzRZl9aa7rD
5bAuzZAziXBW7WWKce2a4hGN804W9RHco5HIGLsQAdg4pLZvENXF1+JNHtBVXjjL
WJrCDKjnCyS1DqmJqijk9KIDM8gP6iLLeQ==
-----END CERTIFICATE-----
OpenSSL también se puede utilizar para verificar el certificado de firma de código. Suponiendo que hemos copiado el texto / datos del certificado de la CA firmante en ~/CA.crt , y hemos copiado el certificado de firma del código en ~/CodeSigner.crt .:
openssl verify -CAfile ~/CA.crt ~/CodeSigner.crt
La eliminación de la firma de un archivo se puede lograr con este comando:
openssl smime -inform DER -verify -in ~/Settings.mobileconfig -noverify -out ~/Unsigned.mobileconfig
Lea otras preguntas en las etiquetas macos certificate openssl ssl