В контуре управления мобильными устройствами MDM-сервера могут находиться как корпоративные планшеты и телефоны, так и устройства, являющиеся собственностью сотрудников организации, так называемые BYOD-устройства (Bring Your Own Device).

Сертификат сервера auto_join_ota_service недействителен

Иногда при выполнении привязки (Enrollment) к MDM-серверу Apple (Apple Configurator + Profile Manager) BYOD-устройств во время попытки установить профиль привязки (Enrollment Profile) может возникнуть ошибка:

Ошибка: сертификат сервера /device management/api/device/auto_join_ota_service недействителен

и привязка не произойдет. Что примечательно: все другие профили: доверия (Trusted Profile), настроек почты, Wi-Fi, ограничений устанавливаются вообще без проблем - только требуют ввести пароль снятия блокировки устройства, если он активирован и используется владельцем устройства.




Данная ошибка всегда возникает (началось с iOS10 и продолжается в iOS11, в более ранних версиях ОС такого не было):

  • при установке профиля Enrollment Profile через кабель из Apple Configurator;
  • при установке профиля из почты (использовать только встроенный почтовый клиент iPhone или iPad).

Также ошибка может возникнуть при попытке установить профиль напрямую через сайт MDM-сервера со страницы .../mydevices/ (вкладка Profiles).

За все время ошибку "server-certificate auto_join_ota_service is invalid" приходилось встречать и бороться с ней более 10 раз, в итоге был выработан алгоритм по решению этой проблемы.

 

Причина и решение проблемы "Сертификат сервера auto_join_ota_service недействителен"

I. Самая банальная причина этой ошибки и способ решения раскрыты в статье Сбой установки профиля. iPad не активирован (не смотря на то, что текст ошибки несколько отличается от приведенного выше). Но суть та же - планшет не может установить профиль управления.

 

II. Иногда может возникнуть такая ситуация: профиль устанавливается, но мобильное устройство не становится управляемым, и в Profile Manager в разделе "Active Tasks" висит и никак не может выполниться задание "Enroll Device". В этом случае нужно перезагрузить планшет/телефон (выключить полностью и заново включить). Если это не помогло, значит нужно перезагрузить MDM-сервер (по опыту рекомендую выполнять перезагрузку MDM-сервера не реже, чем 1 раз в месяц).

 

III. Проблема auto_join_ota_service при установке Enrollment Profile может быть по причине специфических настроек сети, в которой находится MDM-сервер (закрыты какие-нибудь нужные порты и пр.). Соответственно, нужно открыть все порты и выключить брандмауэр.

Проще всего - разрешить всё-всё. В противном случае нужно слушать траффик в момент установки профиля и выявлять все IP и порты, затем методом научного тыка поочередно их открывать и проверять результат.

 

IV. Проблема auto_join_ota_service при установке Enrollment Profile может быть по причине использования самоподписанного SSL/TLS-сертификата сервера. Возможно, при замене его на платный, выданный авторизованным центром сертификации проблема установки профиля управления исчезнет (пока не проверял).

Указывают на это формулировки ошибок, отображаемые в консоли мобильного устройства. Можно посмотреть логи планшета или телефона в момент установки профиля Enrollment Profile – устройство ругается на недействительный сертификат сервера:

 

....

Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Notice>: TIC TLS Event [1:0x137f5e360]: 12, Pending(0)

Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Notice>: TIC TLS Event [1:0x137f5e360]: 14, Pending(0)

Mar 12 22:06:12 iPad trustd[187] <Notice>: cert[2]: AnchorTrusted =(leaf)[force]> 0

Mar 12 22:06:12 iPad profiled(Security)[246] <Notice>: [root AnchorTrusted]

Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Notice>: TIC TCP Conn Cancel [1:0x137f5e360]

Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Notice>: Connection to https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service failed with error: NSError:Desc   : \M-P\M-!\M-5\M-Q\M^@\M-Q\M^B\M-P\M-8\M-Q\M^D\M-8\M-P\M-:\M-P\M-0\M-Q\M^B \M-Q\M^A\M-P\M-5\M-Q\M^@\M-P\M-2\M-P\M-5\M-Q\M^@\M-P\M-0 \M-4\M-P\M-;\M-Q\M^O \M-B\M-+https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service\M-B\M-; \M-P\M-=\M-P\M-5\M-4\M-P\M-5\M-P\M-9\M-Q\M^A\M-Q\M^B\M-P\M-2\M-P\M-8\M-Q\M^B\M-P\M-5\M-P\M-;\M-P\M-5\M-P\M-=.

US Desc: The server certificate for \M-b\M^@\M^\https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service\M-b\M^@\M^] is invalid.

Domain : MCHTTPTransactionErrorDomain

Code   : 23002

Type   : MCFatalError

Params : (

"https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service"

)

Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Error>: Task <77824643-BB88-4383-8AA5-F0A649D811C5>.<1> HTTP load failed (error code: -999 [1:89])

Mar 12 22:06:12 iPad profiled[246] <Notice>: Failure occurred while retrieving profile during OTA Profile Enrollment: NSError:Desc   : \M-P\M-!\M-P\M-5\M-Q\M^@\M-Q\M^B\M-8\M-Q\M^D\M-P\M-8\M-P\M-:\M-P\M-0\M-Q\M^B \M^A\M-P\M-5\M-Q\M^@\M-P\M-2\M-P\M-5\M-Q\M^@\M-P\M-0 \M-P\M-4\M-P\M-;\M-Q\M^O \M-B\M-+https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service\M-B\M-; \M-P\M-=\M-P\M-5\M-P\M-4\M-P\M-P\M-9\M-Q\M^A\M-Q\M^B\M-P\M-2\M-P\M-8\M-Q\M^B\M-5\M-P\M-;\M-P\M-5\M-P\M-=.

US Desc: The server certificate for \M-b\M^@\M^\https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service\M-b\M^@\M^] is invalid.

Domain : MCHTTPTransactionErrorDomain

Code   : 23002

Type   : MCFatalError

Params : (

"https://mdm.skal.ru/devicemanagement/api/device/auto_join_ota_service"

)

Mar 12 22:06:12 iPad profiled(CFNetwork)[246] <Error>: Task <77824643-BB88-4383-8AA5-F0A649D811C5>.<1> finished with error - code: -999

....

 

Неудачная попытка установки Enrollment Profile на BYOD-устройство:

Сертификат сервера auto_join_ota_service недействителен

 




 

Управляемые устройства (supervised devices) таких проблем не имеют - они изначально всегда и во всем доверяют своему MDM-серверу и, соответственно, всем его профилям. А BYOD-устройства не такие доверчивые, и с ними нужно дополнительно понянчиться.

 

Как установить Enrollment Profile на BYOD-устройство?

1. Сначала обязательно установить профиль доверия к MDM-серверу (Trust Profile), перед этим проверить и убедиться, что он срок его годности еще не истек. Установку выполнить любым способом (через Apple Configurator, через почту или через сайт MDM-сервера).

 

2. Зайти через браузер SAFARI (обязательно использовать только Safari!!!) на сайт MDM-сервера на страницу .../mydevices/ и авторизоваться пользователем, имеющим права администратора.

Если это делает Админ, он может авторизоваться под собой, если привязка планшета выполняется дистанционно с координированием администратора EFB по телефону или через чат, то перед этим Админ должен в приложении OSxServer временно создать любую учетную запись с правами админа и сообщить владельцу планшета логин и пароль для авторизации (позже можно сменить пароль или вообще удалить данного пользователя).

 

3. На планшете в браузере перейти на вкладку "Profiles" и установить (если еще не установили) профиль доверия - Trust Profile (подчеркнут одной чертой):

Сертификат сервера auto_join_ota_service недействителен

В качестве эксперимента можно попробовать установить профиль управления - любой из имеющихся на странице Enrollment Profiles (подчеркнуты двумя чертами), иногда это срабатывало, и профиль устанавливался без каких-либо ошибок. Но, скорее всего, как показывала практика, в iOS10 и в iOS11 это не сработает.

 


 

4. Для гарантированной установки Enrollment Profile перейти на вкладку "Devices" и нажать на кнопку "Enroll" в блоке "This iPad":

Сертификат сервера auto_join_ota_service недействителен

После этого профиль Enrollment Profile должен установиться, и между MDM-сервером и мобильным устройством возникнет связь. В этом случае устройство будет назначено пользователю, от имени которого авторизовались и заэнроллили планшет.

Рекомендую удалить эту привязку. Для этого в Profile Manager перейти в раздел "Users", найти нужного пользователя и открыть вкладку "Devices". Найти то самое устройство и удалить его, нажав на крестик с правой стороны экрана.

Удаление устройства у пользователя никак не повлияет на связь планшета с сервером.

 

Важное дополнение!

Спустя 2-3 недели на MDM-сервер был установлен и активирован SSL-сертификат (не самоподписанный, а полученный от авторизованного центра сертификации). После этого проблемы и ошибки с формулировкой "Сертификат сервера auto_join_ota_service недействителен" прекратились!

 

Комментарии (0)

Здесь не опубликовано еще ни одного комментария

Оставьте свой комментарий

  1. Опубликовать комментарий как Гость.
0 Значки
Вложения (0 / 3)
Поделитесь своим местоположением

      FliteStar/FliteMap для чайников
      FliteStar/FliteMap для чайников

      Наиподробнейший инструктивный материал по использованию программ FliteStar/FliteMap. Программы "Flite Star" и "Flite Map" отличаются друг от друга наличием у "Flite Map" движущейся карты при подключении к ней GPS, что позволяет повысить удобство использования ее в полете. Без подключения GPS порядок работы с обеими программами полностью идентичен. В данных методических рекомендациях рассматривается вопрос...




      Как скрыть NavigationBar у первого ViewController (Swift)
      Как скрыть NavigationBar у первого ViewController (Swift)

      Иногда на первом ViewController необходимо не отображать NavigationBar, так как он он пустой (не имеет кнопок навигации). В Swift это можно сделать с помощью небольшого куска кода, вставленного в требуемый VeiwController внутрь функции viewWillAppear:




      Как скачать ipa-файл с помощью Mac OS
      Как скачать ipa-файл с помощью Mac OS

      С 12.ххх какой-то версии в программе iTunes был упразднен функционал работы с ipa-файлами, и iTunes стал всего лишь убогим медиа-плейером... :( Если раньше пользователи могли с помощью iTunes устанавливать и удалять приложения на свои устройства, сохранять ipa-файлы (через медиатеку iTunes), а также управлять контентом этих приложений (загружать и удалять файлы в приложениях), то теперь такая возможность...




      Огни статуса ВПП - Runway Status Lights
      Огни статуса ВПП - Runway Status Lights

      20 октября 2014 года в аэропорту Москва Внуково произошла авиакатастрофа с самолетом Falcon 50EX французской авиакомпании UniJet (регистрационный номер F-GLSA). При выполнении взлета ночью в сложных метеоусловиях воздушное судно столкнулось со снегоочистителем, совершившим несанкционированный выезд на ВПП. Конечно же было проведено тщательное расследование данного происшествия, были определены все причины -...




      Переменные средЫ Windows - TEMP и TMP
      Переменные средЫ Windows - TEMP и TMP

      Переменные среды Windows - ударение на "Ы" во втором слове (смысл фразы заложен в родительном падеже и верном ударении: переменные чего? - среды!), в англоязычных версиях виндовс - environment variable) Переменные среды Windows используются для настройки операционных систем. Не каждому пользователю нужно разбираться с этими настройками и влезать в эти переменные, но есть пара переменных, о которых нужно...




      Jeppesen IP 0.0.0.0 port 1984
      Jeppesen IP 0.0.0.0 port 1984

      При использовании программ Jeppesen в корпоративной среде могут возникнуть проблемы со скачиванием обновлений навигационных баз данных таких программ, как Jeppesen eLink for Windows, Jeppesen JetPlanner и других.




      Ошибки Jeppesen FD PRO - Показывает видео
      Ошибки Jeppesen FD PRO - Показывает видео

      Чем сложнее система, тем больше вероятность ее отказа. Чем сложнее программа, тем больше в ней может быть глюков, багов и косяков. Понятно, что каждый разработчик ПО старается свести к минимуму все глюки, но предусмотреть все и смоделировать все возможные ситуации просто не реально. Ошибки бывают не значительные, существенные и критические. В зависимости от типа выявленной ошибки на программу и...



Яндекс.Метрика
Сайт работает на быстром VPS/VDS хостинге от FASTVPS