Tanúsítványok terjesztése az Apple-eszközökre
A tanúsítványok manuálisan terjeszthetők iPhone-okra, iPadekre és Apple Vision Prókra. Amikor a felhasználó megkapja a tanúsítványt, koppintással megtekintheti a tanúsítvány tartalmát, majd újabb koppintással hozzáadhatja a tanúsítványt az eszközhöz. Az identitástanúsítványok telepítésekor a felhasználóknak meg kell adniuk a tanúsítványt védő jelszót. Ha egy tanúsítvány hitelessége nem ellenőrizhető, akkor a tanúsítvány nem megbízhatóként jelenik meg, és a felhasználó eldöntheti, hogy hozzáadja-e az eszközhöz.
A tanúsítványok manuálisan terjeszthetők a Maceken. Ha a felhasználók egy tanúsítványt kapnak, duplán rákattintva megnyithatják a Keychain Access appot, és megtekinthetik tartalmát. Ha a tanúsítvány megfelel a várakozásoknak, a felhasználók kiválasztják a kívánt kulcskarikát, és a Hozzáadás gombra kattintanak. A legtöbb felhasználói tanúsítványt a bejelentkezési kulcskarikában kell telepíteni. Az identitástanúsítványok telepítésekor a felhasználóknak meg kell adniuk a tanúsítványt védő jelszót. Ha egy tanúsítvány hitelessége nem ellenőrizhető, akkor a tanúsítvány nem megbízhatóként jelenik meg, és a felhasználó eldöntheti, hogy hozzáadja-e a Machez.
Bizonyos tanúsítványidentitások automatikusan megújíthatók a Maceken.
Tanúsítványtelepítési módszerek MDM-adatcsomagok használatával
A következő tábla bemutatja a különböző adatcsomagokat a tanúsítványok konfigurációs profilokkal történő telepítéséhez. Ezek közé tartozik az Active Directory-tanúsítvány adatcsomagja, a Tanúsítvány adatcsomagja (a PKCS #12 identitástanúsítványhoz), az Automated Certificate Management Environment (ACME) adatcsomagja és a Simple Certificate Enrollment Protocol (SCEP) adatcsomagja.
Adatcsomag | Támogatott operációs rendszerek és csatornák | Leírás | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Active Directory-tanúsítvány adatcsomag | macOS-eszköz macOS-felhasználó | Az Active Directory-tanúsítvány adatcsomagjának beállításával a macOS közvetlen tanúsítványaláírási kérést küld egy Active Directory tanúsítványszolgáltató szerverének, amely CA-t ad ki távoli eljáráshívás (Remote Procedure Call) révén. A gépi identitásokat a Mac objektumának Active Directoryban lévő bejelentkezési adataival regisztrálhatja. A felhasználók a regisztrációs folyamat keretében megadhatják bejelentkezési adataikat, hogy egyéni identitásukat előkészítsék. Ezzel az adatcsomaggal az adminisztrátorok nagyobb mértékben szabályozhatják a privát kulcsok használatát és a regisztrációs tanúsítványsablont. Az SCEP-hez hasonlóan a privát kulcsok itt is az eszközön maradnak. | |||||||||
ACME-adatcsomag | iOS iPadOS Megosztott iPad eszköz macOS-eszköz macOS-felhasználó tvOS watchOS 10 visionOS 1.1 | Az eszköz a tanúsítványokat egy tanúsítványkiadó központtól kéri le az MDM-megoldásokba regisztrált Apple-eszközökhöz. Ezzel a módszerrel a privát kulcs kizárólagosan az eszközön marad, és opcionálisan az eszköz hardveréhez köthető. | |||||||||
Tanúsítványok adatcsomagja (PKCS #12 identitástanúsítványhoz) | iOS iPadOS Megosztott iPad eszköz macOS-eszköz macOS-felhasználó tvOS watchOS 10 visionOS 1.1 | Ha az identitás előkészítése nem az eszközön történik a felhasználó vagy az eszköz nevében, akkor az identitás PKCS #12 fájlba (.p12 vagy .pfx) csomagolható, és jelszóval védhető. Ha az adatcsomag tartalmazza a jelszót, az identitás a felhasználó értesítése nélkül is telepíthető. | |||||||||
SCEP adatcsomag | iOS iPadOS Megosztott iPad eszköz macOS-eszköz macOS-felhasználó tvOS watchOS 10 visionOS 1.1 | Az eszköz a tanúsítvány-aláírási kérelmet közvetlenül egy igénylési szerveren helyezi el. Ezzel a módszerrel a titkos kulcs kizárólagosan az eszközön marad. | |||||||||
Ahhoz, hogy szolgáltatásokat lehessen társítani egy adott identitáshoz, konfiguráljon egy ACME, SCEO vagy tanúsítvány adatcsomagot, majd konfigurálja a kívánt szolgáltatást ugyanabban a konfigurációs profilban. Egy SCEP adatcsomag például úgy konfigurálható, hogy előkészítsen egy identitást az eszköznek, és ugyanebben a konfigurációs profilban egy Wi-Fi-adatcsomag is konfigurálható a WPA2 Enterprise/EAP-TLS-hez azzal az eszköztanúsítvánnyal, amely a hitelesítési SCEP-igénylésből származik.
Ahhoz, hogy szolgáltatásokat lehessen társítani egy adott identitáshoz macOS esetén, konfiguráljon egy Active Directory-tanúsítvány, ACME, SCEP vagy tanúsítvány adatcsomagot, majd konfigurálja a kívánt szolgáltatást ugyanabban a konfigurációs profilban. Egy Active Directory-tanúsítvány adatcsomag például úgy konfigurálható, hogy előkészítsen egy identitást az eszköznek, és ugyanebben a konfigurációs profilban egy Wi-Fi adatcsomag is konfigurálható a WPA2 Enterprise/EAP-TLS-hez azzal az eszköztanúsítvánnyal, amely a hitelesítési Active Directory-tanúsítvány igénylésből származik.
Konfigurációs profilok által telepített tanúsítványok megújítása
A szolgáltatás folyamatos elérésének biztosításához az MDM-megoldás által telepített tanúsítványokat a lejáratuk előtt meg kell újítani. Ennek elvégzéséhez az MDM-megoldások képesek lekérdezni a telepített tanúsítványokat, megvizsgálni a lejárati dátumot, és előre kiadni egy új profilt vagy tanúsítványt.
Az Active Directory-tanúsítványok esetében, amikor a tanúsítványidentitások egy eszközprofil részeként vannak telepítve, az alapértelmezett viselkedés az automatikus megújítás a a macOS 13 vagy újabb rendszerben. Az adminisztrátorok megadhatnak egy rendszerbeállítást ennek a viselkedésnek a módosításához. További információkért olvassa el a következő Apple támogatási cikket: Konfigurációs profil által továbbított tanúsítványok automatikus megújítása.
Tanúsítványok telepítése a Mail vagy a Safari használatával
E-mail-mellékletben is elküldheti a tanúsítványt, vagy elhelyezheti azt egy biztonságos webszerveren, ahonnan a felhasználók letölthetik Apple eszközeikre.
Tanúsítványok eltávolítása és visszavonása
Az MDM megoldással az eszközön található összes tanúsítvány megtekinthető és bármely telepített tanúsítvány eltávolítható.
Mindemellett a tanúsítványok állapotának ellenőrzéséhez az Online tanúsítványállapot-protokoll (OCSP) használata is támogatott. Ha OCSP-tanúsítvány van használatban, az iOS, az iPadOS, a macOS és a visionOS rendszer is időnként ellenőrzi, hogy a tanúsítvány nem lett-e visszavonva.
Tanúsítványok visszavonása konfigurációs profillal: Tanúsítvány-visszahívási MDM-adatcsomag beállításai.
Egy telepített tanúsítvány manuális eltávolításához iOS, iPadOS, visionOS 1.1 vagy újabb rendszer használata esetén válassza a Beállítások > Általános > Eszközfelügyelet menüpontot, válasszon ki egy profilt, koppintson a További részletek elemre, majd koppintson a tanúsítványra az eltávolításhoz. Ha olyan tanúsítványt távolít el, amely egy fiók vagy hálózat eléréséhez szükséges, az iPhone, iPad vagy Apple Vision Pro nem fog tudni többé kapcsolódni az adott szolgáltatásokhoz.
Telepített tanúsítvány kézi eltávolításához macOS esetén indítsa el a Kulcskarika-elérést, majd keresse meg a tanúsítványt. Válassza ki, majd törölje a kulcskarikából. Ha olyan tanúsítványt távolít el, amely egy fiók vagy hálózat eléréséhez szükséges, a Mac nem fog tudni többé kapcsolódni az adott szolgáltatásokhoz.