glatzert
commented
3 weeks ago Gude,
die Schnittstelle von Apple nutzt AFAIK das bisher nicht endgültig in einen Standard gegossene "device-attest-01" (https://www.ietf.org/archive/id/draft-acme-device-attest-02.html) Die IANA listet das bisher nicht als "offizielle" Methoden für einen ACME Server und auch die beiden Identifier (permament-identifier und hardware-module) sind bisher nicht in den offiziellen Standards hinterlegt.
Ich kann mir vorstellen eine passende Erweiterung zu bauen und diese zur Verfügung zu stellen, mir fehlt dazu aber die Umgebung, um das mindestens "durchzuspielen" und die Funktion eines solchen Moduls zu validieren.
Ich denke aber, das die Email als subjectAlternateName im Protokoll nicht zulässig ist, da in der Challenge die Kontrolle über das Hardware-Modul oder den "permanent-identifier" nachgewiesen wird - nicht aber über die Email-Adresse. Für letztere gäbe es den RFC8823 (https://www.rfc-editor.org/rfc/rfc8823.html).
Moin,
wir möchten testen, ob wir diese Software in unserem Unternehmen für das Ausstellen von Benutzerzertifikaten für Mac-User (verwaltet über Jamf) nutzen können. Hierzu wird diese Schnittstelle von Apple verwendet: https://support.apple.com/de-de/guide/deployment/depb95c66a07/web
Wir haben im Jamf Configuration Profile im Reiter "ACME Certificate" die folgenden Einstellungen konfiguriert:
Wir erhalten die folgende Fehlermeldung im Log: {"@t":"2024-08-16T09:24:25.8997144Z","@m":"Detected TGIT.ACME.Protocol.Model.Exceptions.MalformedRequestException. Converting to BadRequest.","@i":"c288af6a","@l":"Debug","SourceContext":"TGIT.ACME.Server.Filters.AcmeExceptionFilter","ActionId":"a9423451-b254-4617-861c-94d72e7adaeb","ActionName":"TGIT.ACME.Server.Controllers.OrderController.CreateOrder (TGIT.ACME.Server.Core)","RequestId":"4000000b-0001-f900-b63f-84710c7967bb","RequestPath":"/new-order"}