Comment gérer l'expiration du certificat de Distribution D'entreprise?
notre client vient de rejoindre le programme iOS Developer Enterprise. Ils ont signé l'application (développée par nous) avec leur distribution Enterprise et l'ont installée avec succès dans certains appareils via MDM.
autant que je sache quand mon certificat de distribution non-entreprise expire, je dois le renouveler. Cette expiration désactive toutes les applications signées avec le certificat expiré dès que les appareils vérifient la validité du certificat contre le serveur OCSP D'Apple.
alternativement, je peux révoquer ma distribution non-enterprise avant la date d'expiration et en Demander une nouvelle à Apple. Les Applications signées avec le certificat révoqué, par exemple les applications bêta ad Hoc, seront désactivées selon le même mécanisme.
donc avec mon programme de développeur Je ne peux pas avoir deux certificats de distribution valides en même temps. En tant que développeurs, on peut vivre avec ça.
notre client peut-il avoir deux Des certificats de Distribution d'entreprise en même temps avec le programme iOS Developer Enterprise?
selon Apple:
Validation Du Certificat
La première fois qu'une application est ouverte sur un périphérique, la distribution le certificat est validé en contactant le serveur OCSP D'Apple. À moins que le certificat a été révoqué, l'application est autorisé à s'exécuter. L'incapacité à contacter ou obtenir une réponse de la Le serveur OCSP n'est pas interprété comme un révocation. Pour vérifier l'état, l'appareil doit pouvoir atteindre ocsp.apple.com. Voir"exigences relatives à la Configuration du réseau" (page 9).
la réponse OCSP est mise en cache sur le dispositif pendant la période spécifiée par le serveur OCSP-actuellement entre 3 et 7 jours. La validité de la le certificat ne sera pas vérifié de nouveau jusqu'à ce que l'appareil a redémarré et la réponse en cache a expiré. Si une révocation est reçus à l' le temps, l'application sera d'empêcher l'exécution. Révoquer un certificat de distribution invalidera toutes les applications que vous ont distribués.
Une application ne fonctionnera pas si le certificat de distribution a expiré. À l'heure actuelle, les certificats de distribution sont valides pour une an. Quelques semaines avant l'expiration de votre certificat, demandez un nouveau certificat de distribution du DevCenter iOS, utilisez-le pour créer de nouveaux profils d'approvisionnement de distribution, puis recompiler et de distribuer les mise à jour des applications pour vos utilisateurs. Voir "Mise à jour des applications" (page 10)
est-ce que je manque quelque chose ou est-il possible que les employés, avec potentiellement des centaines d'appareils iOS avec plusieurs applications internes, ne puissent pas ouvrir leurs applications en attendant les applications démissionnaires?
5 réponses
il s'agit d'une question que nous traitons depuis les deux dernières années. Les applications internes cessent de fonctionner après 1 an. Il est un énorme exercice pour une organisation comme la nôtre reconstruire des centaines d'applications et de les redéployer sur des milliers d'appareils chaque année.
pour nous, il s'agit d'un exercice d'un mois où nous reconstruisons toutes nos applications et informons tous les utilisateurs d'en obtenir de nouvelles via le canal de distribution. Pourtant, chaque année, certains utilisateurs se retrouvent avec des applications non fonctionnelles.
j'ai déposé une demande d'amélioration auprès D'Apple ( Bug ID#9848075 ) pour cela et j'attends toujours une réponse.
EDIT: Le bogue mentionné ci-dessus est maintenant fermé. Voici la réponse officielle:
Les certificats de Distributionpour les entreprises ont maintenant une durée de 3 ans.
le lien" manquant " est maintenant http://help.apple.com/iosdeployment-apps/?lang=en#app43ad74a3
quelques semaines avant l'expiration de votre certificat, demandez une nouvelle distribution certificat du Centre de développement iOS, utilisez-le pour créer une nouvelle distribution fournir des profils, puis recompiler et distribuer les mises à jour applications pour vos utilisateurs.
Le document décrit également comment mettre à jour Des Apps. Il y a des cadres qui incluent le mécanisme de mise à jour facilement dans votre application. Eg "Hockey", https://github.com/therealkerni/HockeyKit
citant l'article complet:
validation du certificat
La première fois qu'un utilisateur ouvre une application, le certificat de distribution est validé en contactant le serveur OCSP D'Apple. À moins que le certificat a été révoquée, l'application est autorisée à fonctionner. Incapacité de communiquer ou obtenir une réponse du serveur OCSP n'est pas interprété comme une révocation. Pour vérifier l'état, l'appareil doit pouvoir atteindre ocsp.apple.com. Voir exigences de configuration du réseau.
la réponse OCSP est mise en cache sur le dispositif pendant la période de temps spécifié par le serveur OCSP-actuellement, entre 3 et 7 jours. Le la validité du certificat n'est pas vérifiée à nouveau jusqu'à ce que l'appareil ait redémarré et la réponse mise en cache est Expirée. Si une révocation est reçu à ce moment, l'application est d'empêcher l'exécution. La révocation d'un le certificat de distribution invalide toutes les applications que vous avez distribué.
une application ne fonctionnera pas si le certificat de distribution est expiré. Actuellement, les certificats de distribution sont valides pour un an. Quelques semaines avant l'expiration de votre certificat, demandez une nouvelle distribution certificat du Centre de développement iOS, utilisez - le pour créer de nouveaux distribution fournir des profils, puis recompiler et distribuer les mises à jour applications pour vos utilisateurs. Voir fournir des applications mises à jour.
Apple a révisé la documentation...
une application ne fonctionnera pas si son certificat de distribution a expiré. Actuellement, les certificats de distribution sont valides pour un an, et vous peut avoir deux certificats actifs en même temps. Deuxième le certificat est destiné à fournir une période de chevauchement au cours de laquelle vous pouvez mettre à jour vos applications avant le premier certificat expire.
Par exemple, six mois avant votre date d'expiration du certificat de distribution, créer un nouveau certificat et de l'utiliser pour mettre à jour vos applications pour la prochaine an. Pour ce faire, vous demandez un nouveau certificat de distribution iOS Dev Center (ne pas révoquer votre premier certificat), utilisez-le pour créer de nouveaux profils d'approvisionnement de distribution pour chacune de vos applications, ensuite, vous recompilez et distribuez les applications mises à jour à vos utilisateurs. Voir fournir des applications mises à jour.
Note: le texte hiérarchique ci-dessous indique le chemin vers l'information qui explique la solution. Vous devez naviguer pour (étendre les flèches à côté de) les éléments dans la barre latérale pour voir la solution (Mani, s'il vous plaît ne supprimez pas cette information - il est là pour diriger le spectateur à la solution.)
Actuel de la documentation d'Apple:
Distributing Enterprise Apps for iOS Devices
In-house apps
Certificate validation
Providing updated apps
De Fournir des mises à jour des applications:
vous pouvez avoir deux certificats de distribution actifs en même temps; chacun est indépendant de l'autre. Le second certificat est destiné à fournir une période de chevauchement au cours de laquelle vous pouvez mettre à jour vos applications avant l'expiration du premier certificat. Lorsque vous demandez votre deuxième certificat de distribution du Centre de développement iOS, assurez-vous de ne pas révoquer votre premier certificat.
Qu'il n'y a pas une façon transparente de le faire de sorte que tous nos clients internes n'ont pas besoin de voir ce manque de fonctionnalité plutôt terrible.
Juste un petit suivi.
Origine:
" autant que je sache quand mon certificat de distribution non-entreprise expire, je dois le renouveler. Cette expiration désactive toutes les applications signées avec le certificat expiré dès que les appareils vérifient la validité du certificat contre le serveur OCSP D'Apple."
ce n'est pas tout à fait vrai, si je comprends bien. Ce info auprès d'Apple, et comme expliqué ici dit le contraire.
que se passe-t-il si mon certificat expire ou a été révoqué?
...
certificat de Distribution iOS (App Store)
- si votre adhésion au programme iOS Developer est valide, vos applications existantes sur L'App Store ne seront pas affectées. Cependant, vous n'aurez plus long être en mesure de soumettre de nouvelles applications ou des mises à jour à L'App Store.