어쨌든

서명 주의 = 신뢰할 수 있는 안전 물품이 아니다
서명 프로필을 추가한 피싱 사이트도 등장했다.
사천택배를 속이고 설비 로그인 도전 유효 하중 설정 파일을 포함합니다.
일반적으로 MDM(iOS의 원격 모니터링 도구)을 등록해야 합니다.
설치가 완료되지 않은 경우에도 디바이스 정보를 서버에 보낼 수 있습니다.아니면 발송 방법의 프로필이라든가.
애플 Developer의 인증서로 서명했기 때문에 이미 검증했습니다.

구성 서명의 목적 구성

이 구성 약관은 누가 만들었는지 명확히 하고 서명 후 내용을 왜곡(개작)했는지 보증한다.
중복된 것이지만'사인=믿음직하고 안전한 것'은 아니다.서명을 해도 내용이 위험한 경우도 있다.
"서명된 프로필이""인증됨""이면 인증서가 iOS에 의해 저장된 CA 서명의 올바른 인증서인지만 확인합니다."
프로필의 내용이 검증되지 않았기 때문에 서명했더라도 위험한 경우도 있다.
사기 사이트나 피싱 사이트에서'SSL이 녹아서 안심하고 안전하다'는 게 아니라는 것과 거의 같은 것이다.
이른바'나는 내 증명서'로 서명해도 그 증명서를 iOS에 미리 넣으면'이미 검증', 미검증이라도서명증서의 지문 확인 등을 통해 서명자를 확인하고 서명자를 신뢰한다면 어떤 의미에서 검증된 의미와 동일한 의미라고 볼 수 있다.
애플 디벨로퍼의 증명서는 돈만 내면 쉽게 받을 수 있는데 아마 본인이 확인 같은 건 안 해서 믿을 수가 없는 것 같아요.위에 있는 그림, "누구야, 존 가브리엘?"시시한 말
기업명 애플 디벨로퍼 계정에 DUNS 번호가 있는 기업 인증은 나쁘지 않기 때문이다.하지만 모르는 기업명은 믿을 수 없다.

애플 2 사인 사용

[파일] → "서명 프로필..."그런 다음 서명 ID를 선택합니다.

조직 식별 정보를 제작한 경우에는 그걸로 서명할 수 있다.

그러나 자체 서명 루트 인증서가 되고 iOS 측에서는 인증되지 않습니다.

iOS에 신뢰할 수 있는 인증서로 등록하는 것을 피할 수 있으나 불특정 다수로 나누어 주지 않는다.

애플 2로 서명 취소

서명을 삭제하려면 [파일]→[구성 파일의 서명 삭제]를 선택합니다.

Apple Configuurator 2를 통해 서명할 수 없는 경우

이전 서명 ID에 인증서가 없어 서명할 수 없는 경우
서명을 위해 키 용도(Key Usage)에 디지털 서명(Digital Signature)이 없으면 목록에 표시할 수 없습니다.
따라서 내 인증서 등으로 프로필에 서명하고 싶으면 이렇게 하거나 다음 OpenSSL로 서명하십시오.
그리고 우리가 증명서를 만들면XCA 비교적 수월할 수도 있습니다.
그나저나 더 나은 PKI 관리는 없나...

OpenSSL 서명 사용

macOS Sierra, OpenSSL 0.9.8zh 14 Jan 2016

$ openssl smime -sign -nodetach \
-signer [証明書].cer \
-inkey [秘密鍵].key \
-in [未署名プロファイル入力元].mobileconfig \
-out [署名プロファイル出力先].mobileconfig \
-outform der

SSL 인증서를 사용하여 OpenSSL에 서명하는 예

유효한 인증서를 사용하는 경우 인증된 프로파일로 간주됩니다.
(Let's Encerypt도 가능하지만 유효기간이 짧아서 사용하기 불편한가요)
이 경우 체인 인증서를 추가해야 합니다.

$ openssl smime -sign -nodetach \
-signer [証明書].cer \
-inkey [秘密鍵].key \
-certfile [チェーン証明書].cer \
-in [未署名プロファイル入力元].mobileconfig \
-out [署名プロファイル出力先].mobileconfig \
-outform der

단, 프로필에 대한 서명은 코드 사이즈에 가깝기 때문에 특히 유료 SSL 인증서에 대해서는 용도외 사용 여부를 확인해야 한다

OpenSSL을 사용하여 서명을 확인하는 구성 파일

$ openssl pkcs7 \
-in [署名済みプロファイル入力元].mobileconfig \
-inform der \
-print_certs

OpenSSL을 사용하여 서명 취소

$ openssl smime -verify -noverify \
-in [署名済みプロファイル入力元].mobileconfig \
-inform der \
-out [署名解除プロファイル出力先].mobileconfig

mac에 들어가는 키chain 키로 서명

$ security cms -S \
-i [未署名プロファイル入力元].mobileconfig \
-o [署名プロファイル出力先].mobileconfig \
-N "[Keychain証明書名]"

서명 취소

$ security cms -D \
-i [署名済みプロファイル入力元].mobileconfig \
-o [署名解除プロファイル出力先].mobileconfig 

서명된 프로필의 샘플 원본

"사용"를 위해 제작된 "프로필 삭제 제어와 ixintpwn(YJSNPI) 삭제 방법의 소재 설정"또는 위 프로필(서명판)의 ""iOS 14 encrypted DNS(DNS over TLS, DNS over HTTPS)"의 "참조 소스 등""에 서명한 프로필도 있다.
전자가 기한을 넘기다.후자는 iOS 14 이상 대상이며 서명만 보면 14 미만이라도 볼 수 있다.

각 구성 파일의 아이폰에 표시

서명하지 않음
iOS 14에서 AdGurd DNS 사용 방법
설치 중 "서명하지 않은 프로필: 이 프로필은 서명하지 않았습니다"경고

자체 서명


설치 중 "검증되지 않은 프로파일: [프로파일 이름]의 신뢰성을 확인할 수 없음

경고

SSL 인증서

개인 요약

결국 서명 프로필의 목적은'작자 명시'와'왜곡 방지'다.프로필의 내용이 믿을 만하다는 것을 보장하지 않는다.
정규 인증서로 서명하면 설치 시 적자 표시와 경고를 없앨 수 있고 설정 파일 자체의 변경을 방지할 수 있습니다.
그러나 인증서의 유효기간이 만료되면 iOS 측에서 만료 경고 표시가 되고, 경고를 제거하기 위한 업데이트 작업만 하거나 만료 경고를 무시하고 사용자를 유도하는 것을 고려하면 처음부터 서명하지 않는 선택이 있을 수 있다.
통신사별 우편물, 와이파이 프로필, MVNO 각사의 APN 프로필에는 서명이 없어 일절 서명하지 않는 것은 나쁘며 신뢰서명은 정의롭다.
그럼에도 서명하지 않은 프로필을 보내면 최종 사용자는'경고가 나왔으니 그냥 설치하라'는 말을 들으면 위기감이 약해질 수 있다는 두려움을 갖게 된다.
애플 씨, 적어도 만료 문제를 없애기 위해 PDF처럼 타임 스탬프를 서명할 순 없겠죠?
사인법 좀 더 자세히 보여주시면 안 돼요?

미심의 일

서명된 약관의 업데이트는 같은 인증서(또는 같은 CN)로 서명한 업데이트에만 한정되며 시도하지 않습니다.
프로파일 식별자가 같더라도 서명되지 않았거나 다른 서명이 있는 프로파일로 업데이트를 시도하면 프로파일을 먼저 삭제하라는 경고가 표시되어 업데이트할 수 없습니다.
의도치 않은 서류 교체를 방지하는 방법으로는 으뜸이지만 YJSNPI와 같은 부당한 서류에 서명했다면 손을 댈 수 없다.

덤

서명은 어쨌든 서명이고 메일, 와이파이, VPN의 암호류는 모두 명문으로 유지된다.
암호를 숨기려면 암호화된 프로파일을 사용합니다.
정식으로 서명하고 운용할 때에는 내 인증서나 SSL 인증서가 아닌 경고 인증서를 사용해야 한다.일반적인 SSL 증명서를 사용했다면 용도 외 사용으로 욕먹을 수도 있다.