В контуре управления мобильными устройствами MDM-сервера могут находиться как корпоративные планшеты и телефоны, так и устройства, являющиеся собственностью сотрудников организации, так называемые BYOD-устройства (Bring Your Own Device).

Сертификат сервера auto_join_ota_service недействителен

Иногда при выполнении привязки (Enrollment) к MDM-серверу Apple (Apple Configurator + Profile Manager) BYOD-устройств во время попытки установить профиль привязки (Enrollment Profile) может возникнуть ошибка:

Ошибка: сертификат сервера /device management/api/device/auto_join_ota_service недействителен

и привязка не произойдет. Что примечательно: все другие профили: доверия (Trusted Profile), настроек почты, Wi-Fi, ограничений устанавливаются вообще без проблем - только требуют ввести пароль снятия блокировки устройства, если он активирован и используется владельцем устройства.




Данная ошибка всегда возникает (началось с iOS10 и продолжается в iOS11, в более ранних версиях ОС такого не было):

  • при установке профиля Enrollment Profile через кабель из Apple Configurator;
  • при установке профиля из почты (использовать только встроенный почтовый клиент iPhone или iPad).

Также ошибка может возникнуть при попытке установить профиль напрямую через сайт MDM-сервера со страницы .../mydevices/ (вкладка Profiles).

За все время ошибку "server-certificate auto_join_ota_service is invalid" приходилось встречать и бороться с ней более 10 раз, в итоге был выработан алгоритм по решению этой проблемы.

 

Причина и решение проблемы "Сертификат сервера auto_join_ota_service недействителен"

I. Самая банальная причина этой ошибки и способ решения раскрыты в статье Сбой установки профиля. iPad не активирован (не смотря на то, что текст ошибки несколько отличается от приведенного выше). Но суть та же - планшет не может установить профиль управления.

 

II. Иногда может возникнуть такая ситуация: профиль устанавливается, но мобильное устройство не становится управляемым, и в Profile Manager в разделе "Active Tasks" висит и никак не может выполниться задание "Enroll Device". В этом случае нужно перезагрузить планшет/телефон (выключить полностью и заново включить). Если это не помогло, значит нужно перезагрузить MDM-сервер (по опыту рекомендую выполнять перезагрузку MDM-сервера не реже, чем 1 раз в месяц).

 

III. Проблема auto_join_ota_service при установке Enrollment Profile может быть по причине специфических настроек сети, в которой находится MDM-сервер (закрыты какие-нибудь нужные порты и пр.). Соответственно, нужно открыть все порты и выключить брандмауэр.

Проще всего - разрешить всё-всё. В противном случае нужно слушать траффик в момент установки профиля и выявлять все IP и порты, затем методом научного тыка поочередно их открывать и проверять результат.

 

IV. Проблема auto_join_ota_service при установке Enrollment Profile может быть по причине использования самоподписанного SSL/TLS-сертификата сервера. Возможно, при замене его на платный, выданный авторизованным центром сертификации проблема установки профиля управления исчезнет (пока не проверял).

Указывают на это формулировки ошибок, отображаемые в консоли мобильного устройства. Можно посмотреть логи планшета или телефона в момент установки профиля Enrollment Profile – устройство ругается на недействительный сертификат сервера:

 

....

Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Notice>: TIC TLS Event [1:0x137f5e360]: 12, Pending(0)

Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Notice>: TIC TLS Event [1:0x137f5e360]: 14, Pending(0)

Mar 12 22:06:12 iPad trustd[187] <Notice>: cert[2]: AnchorTrusted =(leaf)[force]> 0

Mar 12 22:06:12 iPad profiled(Security)[246] <Notice>: [root AnchorTrusted]

Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Notice>: TIC TCP Conn Cancel [1:0x137f5e360]

Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Notice>: Connection to https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service failed with error: NSError:Desc   : \M-P\M-!\M-5\M-Q\M^@\M-Q\M^B\M-P\M-8\M-Q\M^D\M-8\M-P\M-:\M-P\M-0\M-Q\M^B \M-Q\M^A\M-P\M-5\M-Q\M^@\M-P\M-2\M-P\M-5\M-Q\M^@\M-P\M-0 \M-4\M-P\M-;\M-Q\M^O \M-B\M-+https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service\M-B\M-; \M-P\M-=\M-P\M-5\M-4\M-P\M-5\M-P\M-9\M-Q\M^A\M-Q\M^B\M-P\M-2\M-P\M-8\M-Q\M^B\M-P\M-5\M-P\M-;\M-P\M-5\M-P\M-=.

US Desc: The server certificate for \M-b\M^@\M^\https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service\M-b\M^@\M^] is invalid.

Domain : MCHTTPTransactionErrorDomain

Code   : 23002

Type   : MCFatalError

Params : (

"https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service"

)

Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Error>: Task <77824643-BB88-4383-8AA5-F0A649D811C5>.<1> HTTP load failed (error code: -999 [1:89])

Mar 12 22:06:12 iPad profiled[246] <Notice>: Failure occurred while retrieving profile during OTA Profile Enrollment: NSError:Desc   : \M-P\M-!\M-P\M-5\M-Q\M^@\M-Q\M^B\M-8\M-Q\M^D\M-P\M-8\M-P\M-:\M-P\M-0\M-Q\M^B \M^A\M-P\M-5\M-Q\M^@\M-P\M-2\M-P\M-5\M-Q\M^@\M-P\M-0 \M-P\M-4\M-P\M-;\M-Q\M^O \M-B\M-+https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service\M-B\M-; \M-P\M-=\M-P\M-5\M-P\M-4\M-P\M-P\M-9\M-Q\M^A\M-Q\M^B\M-P\M-2\M-P\M-8\M-Q\M^B\M-5\M-P\M-;\M-P\M-5\M-P\M-=.

US Desc: The server certificate for \M-b\M^@\M^\https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service\M-b\M^@\M^] is invalid.

Domain : MCHTTPTransactionErrorDomain

Code   : 23002

Type   : MCFatalError

Params : (

"https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service"

)

Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Error>: Task <77824643-BB88-4383-8AA5-F0A649D811C5>.<1> finished with error - code: -999

....

 

Неудачная попытка установки Enrollment Profile на BYOD-устройство:

Сертификат сервера auto_join_ota_service недействителен

 




 

Управляемые устройства (supervised devices) таких проблем не имеют - они изначально всегда и во всем доверяют своему MDM-серверу и, соответственно, всем его профилям. А BYOD-устройства не такие доверчивые, и с ними нужно дополнительно понянчиться.

 

Как установить Enrollment Profile на BYOD-устройство?

1. Сначала обязательно установить профиль доверия к MDM-серверу (Trust Profile), перед этим проверить и убедиться, что он срок его годности еще не истек. Установку выполнить любым способом (через Apple Configurator, через почту или через сайт MDM-сервера).

 

2. Зайти через браузер SAFARI (обязательно использовать только Safari!!!) на сайт MDM-сервера на страницу .../mydevices/ и авторизоваться пользователем, имеющим права администратора.

Если это делает Админ, он может авторизоваться под собой, если привязка планшета выполняется дистанционно с координированием администратора EFB по телефону или через чат, то перед этим Админ должен в приложении OSxServer временно создать любую учетную запись с правами админа и сообщить владельцу планшета логин и пароль для авторизации (позже можно сменить пароль или вообще удалить данного пользователя).

 

3. На планшете в браузере перейти на вкладку "Profiles" и установить (если еще не установили) профиль доверия - Trust Profile (подчеркнут одной чертой):

Сертификат сервера auto_join_ota_service недействителен

В качестве эксперимента можно попробовать установить профиль управления - любой из имеющихся на странице Enrollment Profiles (подчеркнуты двумя чертами), иногда это срабатывало, и профиль устанавливался без каких-либо ошибок. Но, скорее всего, как показывала практика, в iOS10 и в iOS11 это не сработает.

 


 

4. Для гарантированной установки Enrollment Profile перейти на вкладку "Devices" и нажать на кнопку "Enroll" в блоке "This iPad":

Сертификат сервера auto_join_ota_service недействителен

После этого профиль Enrollment Profile должен установиться, и между MDM-сервером и мобильным устройством возникнет связь. В этом случае устройство будет назначено пользователю, от имени которого авторизовались и заэнроллили планшет.

Рекомендую удалить эту привязку. Для этого в Profile Manager перейти в раздел "Users", найти нужного пользователя и открыть вкладку "Devices". Найти то самое устройство и удалить его, нажав на крестик с правой стороны экрана.

Удаление устройства у пользователя никак не повлияет на связь планшета с сервером.

 

Важное дополнение!

Спустя 2-3 недели на MDM-сервер был установлен и активирован SSL-сертификат (не самоподписанный, а полученный от авторизованного центра сертификации). После этого проблемы и ошибки с формулировкой "Сертификат сервера auto_join_ota_service недействителен" прекратились!

 

Комментарии (0)

Здесь не опубликовано еще ни одного комментария

Оставьте свой комментарий

  1. Опубликовать комментарий как Гость.
0 Значки
Вложения (0 / 3)
Поделитесь своим местоположением

      Про НОТАМы
      Про НОТАМы

      НОТАМы (NOTAM = NOTice for Air Men) - это существенные изменения в аэронавигационной обстановке. Международные НОТАМы распространяются из мест их издания по всему миру. Некоторые страны издают также региональные (внутренние) НОТАМы, которые доступны обычно только для эксплуатантов своей страны. НОТАМы дополняют сборники аэронавигационной информации и обеспечивают актуализацию аэронавигационной информации через...




      Установка программы Jeppesen Services Update Manager (JSUM)
      Установка программы Jeppesen Services Update Manager (JSUM)

      Программа Jeppesen Services Update Manager (JSUM) предназначена для обновления навигационных баз данных различных спутниковых навигационных систем (Honeywell Primus Epic, Honeywell Apex, the Avidyne EX5000 MFD, Garmin 155, 430/530 Series GPS, Garmin G1000 Flight Deck и др.). Запись БД осуществляется с помощью специального карт-ридера - так называемой приставки SkyBound.




      Как найти картинку профессионального качества
      Как найти картинку профессионального качества

       Нужно найти похожую/идентичную картинку профессионального качества? - Легко! Для начала нужно определиться, в какой сфере используется профессиональный клипарт. Многие не подозревают, сколько вокруг нас в повседневной жизни используется изображений высокого качества, но они есть, даже если вы их и не замечаете (как тот знаменитый суслик из фильма "ДМБ").




      Аэронавигационные требования к бортовому оборудованию ВС
      Аэронавигационные требования к бортовому оборудованию ВС

      В процесе развития авиационной отрасли эволюционируют и требования к бортовому и наземному оборудованию. Новое оборудование должно быть более надежным, более точным и более простым с точки зрения внедрения и эксплуатации. Соответственно, для него определяются новые требования - более жесткие по сравнению с предыдущими.




      Как настроить Wi-Fi Router DLINK DIR-300 NRU B5 под Билайн
      Как настроить Wi-Fi Router DLINK DIR-300 NRU B5 под Билайн

      В мае 2011 года я написал и разместил на сайте статью "Как настроить Wi-Fi Router DLINK DIR-300 NRU под Билайн". Писал этот мануал в первую очередь для себя, чтоб качественная шпаргалка всегда была под рукой. Со временем статью немного дополнил и откорректировал в соответствии с новой информацией и фактическим опытом настройки данного типа рутеров. Чуть более чем за полгода эта статья была просмотрена 35 тысяч раз, к ней было написано 5 страниц комментариев к статье: как благодарных, так и...




      Содержимое сайта заблокировано вирусом
      Содержимое сайта заблокировано вирусом

      Задача каждого вебмастера при создании и поддержке сайта - максимально защитить его от хакеров, вирусов и других злодеев и гадостей. К сожалению не у всех это получается. И, порой, натыкаешься в Интернете на зараженные сайты. Одни уже могут попасть в список опасных и поисковые системы могут не пускать на них или как минимум предупреждают об опасности. Другие - еще не в списках - приносят вред...




      Смена циклов AIRAC в мире - отличия от международного расписания
      Смена циклов AIRAC в мире - отличия от международного расписания

      В соответствии с Приложением 15 к Чикагской конвенции ИКАО "Службы аэронавигационной информации" в разделе 4.3 указано:   На каждой странице поправки к AIP в соответствии с AIRAC, включая титульный лист, указывается дата вступления в силу. В тех случаях, когда используется время вступления в силу, отличное от 0000 UTC, это время указывается на титульном листе.  



Яндекс.Метрика
Сайт работает на быстром VPS/VDS хостинге от FASTVPS