¿Cómo administrar la expiración del certificado de distribución empresarial?

Question

Nuestro cliente acaba de unirse al Programa para desarrolladores de iOS. Han firmado la aplicación (desarrollada por nosotros) con Enterprise Distribution y la instalaron con éxito en algunos dispositivos a través de MDM.

Por lo que sé cuando mi certificado de distribución no empresarial expira tengo que renovarlo. Este vencimiento inhabilita todas las aplicaciones firmadas con el certificado caducado tan pronto como los dispositivos verifiquen la validez del certificado contra el servidor OCSP de Apple.

Como alternativa, puedo revocar mi distribución no empresarial antes de la fecha de vencimiento y solicitar una nueva a Apple. Las aplicaciones firmadas con el certificado revocado, por ejemplo, las aplicaciones beta Ad Hoc, se desactivarán de acuerdo con el mismo mecanismo.

Así que con mi programa de desarrollador no puedo tener dos certificados de distribución válidos al mismo tiempo. Ok, como desarrolladores podemos vivir con eso.

¿Puede nuestro cliente tener dos certificados válidos de Distribución Enterprise al mismo tiempo que el Programa para desarrolladores de iOS?

Según Apple:

validación de certificados

La primera vez que se abre una aplicación en un dispositivo, la distribución de certificados es validado por contacto con el servidor OCSP de Apple. A menos que se haya revocado el certificado , la aplicación puede ejecutarse. La incapacidad para contactar u obtener una respuesta del servidor OCSP no se interpreta como una revocación . Para verificar el estado, el dispositivo debe poder comunicarse al ocsp.apple.com. Consulte "Requisitos de configuración de red" (página 9).

La respuesta OCSP se almacena en caché en el dispositivo durante el período de tiempo especificado por el servidor OCSP, actualmente entre 3 y 7 días. La validez del certificado no se volverá a verificar hasta que se haya reiniciado el dispositivo y la respuesta en caché haya expirado. Si una revocación es recibida en ese momento, la aplicación no podrá ejecutarse. Revocar un certificado de distribución invalidará todas las aplicaciones que haya distribuido.

Una aplicación no se ejecutará si el certificado de distribución ha expirado. Actualmente, los certificados de distribución son válidos por un año . Unas semanas antes de que caduque su certificado, solicite un nuevo certificado de distribución desde iOS DevCenter, úselo para crear nuevos perfiles de aprovisionamiento de distribución y luego vuelva a compilar y distribuir las aplicaciones actualizadas a sus usuarios. Consulte "Proporcionar aplicaciones actualizadas" (página 10)

Me falta algo o es posible que los empleados, potencialmente con cientos de dispositivos iOS con varias aplicaciones de In House, no puedan abrir sus aplicaciones mientras esperan por las aplicaciones resignas?

Answer 1

Este es un problema que hemos estado tratando desde los últimos 2 años. Las aplicaciones internas dejan de funcionar después de 1 año. Es un ejercicio masivo para una organización como la nuestra reconstruir cientos de aplicaciones y volver a desplegarlas en miles de dispositivos cada año.

Para nosotros es un ejercicio de un mes en el que reconstruimos todas nuestras aplicaciones e informamos a todos los usuarios para obtener nuevas a través del canal de distribución. Todavía todos los años, algunos usuarios quedan con aplicaciones no funcionales.

He enviado una solicitud de mejora con Apple (Error ID # 9848075) para esto y todavía estoy esperando una respuesta.

EDITAR: El error mencionado anteriormente está cerrado ahora. Aquí está la respuesta oficial:

Los certificados de distribución para empresas tienen ahora una duración de 3 años.

Answer 2

El enlace "perdido" es ahora http://help.apple.com/iosdeployment-apps/?lang=en#app43ad74a3

Unos semanas antes de que expire su certificado, solicitar un nuevo certificado de distribución desde el centro de desarrollo de iOS, utilizarlo para crear nueva distribución aprovisionamiento perfiles, y luego recompilar y distribuir las aplicaciones actualizadas a sus usuarios.

El documento describe también cómo actualizar aplicaciones. Hay marcos que incluyen el mecanismo de actualización fácilmente en su aplicación. Por ejemplo, "hockey", https://github.com/therealkerni/HockeyKit

Citando el artículo completo:

La validación de certificados

La primera vez que un usuario abre una aplicación, el certificado de distribución es validado por el contacto con el servidor OCSP de Apple. A menos que se haya revocado el certificado , la aplicación puede ejecutarse. La imposibilidad de contactar obtener una respuesta del servidor OCSP no se interpreta como una revocación. Para verificar el estado, el dispositivo debe poder alcanzar ocsp.apple.com. Consulte los requisitos de configuración de red.

La respuesta OCSP se guarda en caché en el dispositivo durante el período de especificado por el servidor OCSP, actualmente, entre 3 y 7 días. La validez del certificado no se vuelve a comprobar hasta que se reinicie el dispositivo y la respuesta en caché haya expirado. Si se recibe una revocación en ese momento, se impide la ejecución de la aplicación . Revocar un certificado de distribución invalida todas las aplicaciones que ha distribuido .

Una aplicación no se ejecutará si el certificado de distribución ha expirado. Actualmente, los certificados de distribución son válidos por un año. Unas pocas semanas antes de que caduque su certificado, solicite un nuevo certificado de distribución desde el Centro de desarrollo de iOS, úselo para crear nuevos perfiles de aprovisionamiento de distribución , y luego recompile y distribuya las aplicaciones actualizadas a sus usuarios. Consulte Proporcionar aplicaciones actualizadas.

Answer 3

Apple ha revisado la documentación ...

Una aplicación no se ejecutará si su certificado de distribución ha expirado. Actualmente, los certificados de distribución son válidos por un año, y usted puede tener dos certificados activos al mismo tiempo. El segundo certificado está destinado a proporcionar un período de superposición durante el cual puede actualizar sus aplicaciones antes de que caduque el primer certificado.

Por ejemplo, seis meses antes de que su certificado de distribución expira, crear un nuevo certificado y lo utilizan para actualizar sus aplicaciones para la próxima año. Para ello, solicite un nuevo certificado de distribución desde el Centro de desarrollo iOS (no revoque su primer certificado), úselo a cree nuevos perfiles de suministro de distribución para cada una de sus aplicaciones, y luego recompile y distribuya las aplicaciones actualizadas a tus usuarios. Consulte Proporcionar aplicaciones actualizadas.

Answer 4

Nota: El siguiente texto jerárquico indica la ruta a la información que explica la solución. Debe navegar (expandir las flechas al lado) los elementos en la barra lateral para ver la solución (Mani, no elimine esta información; está ahí para dirigir al espectador a la solución.)

Documentación actual de Apple :

Distributing Enterprise Apps for iOS Devices 
    In-house apps 
     Certificate validation 
     Providing updated apps 

http://developer.apple.com/library/ios/#featuredarticles/FA_Wireless_Enterprise_App_Distribution/Introduction/Introduction.html

de proporcionar aplicaciones actualizadas:

puede tener dos certificados de distribución activas al mismo tiempo; cada uno es independiente del otro. El segundo certificado está destinado a proporcionar un período de superposición durante el cual puede actualizar sus aplicaciones antes de que caduque el primer certificado. Cuando solicite su segundo certificado de distribución desde el Centro de desarrollo de iOS, asegúrese de no revocar su primer certificado.

Que no hay una manera perfecta de hacer esto para que todos nuestros clientes internos no necesiten ver esto es una falta de funcionalidad bastante terrible.

Answer 5

Solo un pequeño seguimiento.

original:

"Por lo que yo sé cuando mi certificado de distribución no sea de empresa expira tengo que renovarlo Esta caducidad se desactivan todas las aplicaciones firmadas con el certificado caducado tan pronto como los dispositivos comprueba la validez del certificado en contra. Servidor OCSP de Apple ".

Esto no es del todo cierto, si lo entiendo correcto. This información de Apple y como se explica here dice lo contrario.

¿Qué ocurre si mi certificado caduca o ha sido revocado?

...

Certificado iOS Distribución (App Store)

• Si su membresía iOS Developer Program es válida, no se verán afectados sus aplicaciones existentes en la App Store. Sin embargo, ya no podrá enviar nuevas aplicaciones o actualizaciones a la App Store.