EMM测试-EasyWork方案（增强沙箱）最佳实践之测试准备

    上一篇： EMM测试-EasyWork方案（增强沙箱）最佳实践之方案介绍_

第2章  测试准备

2.1 客户方准备

准备工作1：设备IP规划

详细描述：提供设备接入网络用到的IP地址，并确保该IP地址可以访问互联网或者是能够访问应用封装服务器的8800端口：https://ea.sangfor.com:8800。

注：通过代理设备是不能让EMM平台访问应用封装服务器。通过代理设备（SG/Bluecoat等）只能让EMM平台上网更新补丁包及内置规则库。

准备工作2：

IOS场景下SSL受信证书（某公司可以协助申请：属于测试前置工作）；安卓场景下“启用内置CA”给“SSL设备颁发证书”//此处证书作用是为awork终端用户接入安全域使用（由于IOS安全机制严苛，所以IOS场景下测试awork必须要有SSL受信证书或者域名证书；安卓场景不做特别要求）。

详细描述：提前准备好受信的SSL受信证书，由国际权威证书颁发机构颁发的设备证书，常见的有VeriSign、Thawte、GeoTrust、Symantec、wosign等。具体可以百度某公司/某公司等域名/证书申请方法。证书签发成功后，下载证书，选择IIS7/8即可，并导入SSLVPN设备，使用pfx格式即可，证书密码即为证书名字的那串随机数；设备进行证书更新会重启设备，建议在业务空闲时间段进行该操作，避免影响到用户体验。

常见问题：

1.设备时间与证书时间不同步，导致证书导入失败

解决方式：重新配置设备时间，同步PC时间即可。

2.证书格式转换

解决方式有两种：

第一是证书格式装换，见：https://www.myssl.cn/tools/merge-pfx-cert.html；

第二种是：协调客户帮忙申请对应pfx格式证书

准备工作3：

IOS企业签名证书或者某公司自带测试的IOS企业签名证书；安卓企业签名证书或者某公司自带测试的安卓企业签名证书//此处证书作用是SSLVPN设备封装app所必须要用到的企业签名证书。和awork用户接入无关。

详细描述：

提供iOS企业发布证书涉及：

        企业发布证书：pfx格式文件证书，必须是发布证书，不是开发证书。

        企业发布证书对应的key：p12格式文件证书。

        企业发布证书密钥：p12文件对应的密钥，如123456。

        mobileprovision文件：用于描述app的功能权限（目前768R1已经取消“必须有MDM证书”的限制，只需要有SSL受信证书即可。解释下为什么768R1取消了限制？MDM证书 移动设备管理证书==苹果设备最高权限，用于IOS移动设备管理，推送管理命令。说白了：安装app其实只需要app所需的权限即可。）MDM证书如下：

准备工作4：测试终端

详细描述：Android5.0终端（Android5.0以上）、iOS终端（iOS9.2以上）IOS系统的版本和IOS设备的型号（从标准版本SSL M7.5开始支持标准版aWork，但是IOS 8.X以及以下的版本暂时不支持标准版aWork， iOS 9.0或以上版本才支持标准版aWork）：主要集中于安卓手机（小米、华为、魅族、OPPO等）、安卓平板、IOS手机、IPAD。

准备工作5：待封装的APP包/原始APP包

详细描述：

需要客户提供待封装的APP包或者找某公司一线工程师或者4006306430技术支持获取；iOS平台下需要打包为企业发布包，Android平台需要未加固过的apk包。

常见问题：

经典报错：app加固厂商：梆梆加固。

EMM中“原始app的概念”：

安卓：可以在安卓系统上可以正常安装的apk文件，这个apk文件其实是进行过：“最初的app”和“app开发厂家安卓企业发布证书”封装后，能正常在安卓终端安装的apk。可以是从应用商店下载的apk（但一定不能是加固过的app）。比如致远M1 下载链接：m1.seeyon.com。

IOS：企业开发包形式的ipa包。这个包能正常安装在IOS系统上，说明已经和“其他证书”（包括个人证书、公司证书、企业开发者证书、调试证书）进行过封装。但是一定不能是“直接从App Store下载的ipa，因为AppStore会给app加密，加密后无法封装（这种IPA由不同的证书进行封装生成）”。极端情况，客户提供不了这4种“其他证书”，需要找某公司技术支持特殊方式处理app，但不推荐。

IOS的相关证书介绍：

https://www.jianshu.com/p/ca6179446036  iOS IPA的4种打包方式和2种应用证书

其实很好理解：

1.为了客户最大程度地方便使用EMM，所以就采用“原先就能正常在手机上正常安装的app进行封装”，这也是awork排错的第一步：先查app在原设备上是否能正常使用及在使用过程中是否有异常出现；例如：

致远m3_v314_2019-11-19-12_uncheck.apk、致远m3_v315_2020-02-03-16-uncheck-sign.apk等版本

在个人域安装使用并首次登录app：点击 “一篇通知”，然后“处理”并输入字符，会闪退。闪退后打开即可恢复正常（不排除是致远m3的BUG）。

致远m3在安全域安装使用时，同样会出现“首次安装登录输入会闪退”的BUG。

在安全域第二次登录使用，依旧会出现崩溃现象，通过收集实时日志给4006306430技术接口人分析后实时日志后通过特定方式进行封装优化处理

2.在EMM设备上：有证书的app被再次封装，封装后的证书会变成设备自带的证书或者设备导入的IOS或者安卓证书（部分app会因为证书的改变导致使用存在异常，所以在特殊场景“app有签名验证场景”下需要获取app原使用的企业发布证书进行封装）。

截止SSL VPN标准版本M7.3R3及之前版本，IOS 应用封装暂时不支持封装包含插件的应用，SSL VPN标准版本M7.5及之后版本支持IOS包含插件的应用封装。

截止标准版本M7.6.8R1，IOS 应用封装不支持防封装的应用（个别应用如某公司会检查应用的合法性，但大多数的企业应用都不会检查。注意下企业应用和个人应用的区别）

下一篇预告：未完待续~EMM测试-EasyWork方案（增强沙箱）防坑指南_03

太厉害了，不愧是浙江区EMM第一人

打卡学习

太厉害了，学习了

太厉害了 学习了

太强了！！！！！！！！！！

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！

感谢来自EMM大神的分享。btw，今年的苹果证书特别难申请

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！