Configurările sarcinii MDM Mediu de gestionare automată a certificatelor (ACME) pentru dispozitivele Apple
Puteți configura sarcina Certificat ACME pentru a obține certificate de la o autoritate de certificare (CA) pentru dispozitivele Apple înscrise într-o soluție de gestionare a dispozitivelor mobile (MDM). ACME este alternativa modernă pentru SCEP. Acesta este un protocol pentru solicitarea și instalarea certificatelor. Utilizarea protocolului ACME este necesară când se utilizează atestarea dispozitivelor gestionate.
Sarcina Certificat ACME este compatibilă cu următoarele. Pentru mai multe informații, consultați Informațiile sarcinii.
Identificator acceptat pentru sarcină: com.apple.security.acme
Sisteme de operare și canale compatibile: iOS, iPadOS, dispozitiv iPad partajat, dispozitiv macOS, utilizator macOS, tvOS, watchOS 10, visionOS 1.1.
Tipuri de înscriere acceptate: înscrierea utilizatorilor, înscrierea dispozitivelor, înscrierea automată a dispozitivelor.
Duplicate permise: Adevărat - mai multe sarcini Certificat ACME pot fi livrate unui dispozitiv.
Puteți utiliza configurările din tabelul de mai jos cu sarcina Certificat ACME.
Configurare | Descriere | Obligatoriu | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Client identifier | Un șir unic care identifică un anumit dispozitiv. Serverul poate utiliza această valoare antireluare pentru a evita emiterea mai multor certificate. De asemenea, acest identificator indică serverului ACME că dispozitivul are acces la un identificator de client valid, emis de infrastructura organizației. Acest lucru poate ajuta serverul ACME să determine dacă acordă încredere dispozitivului. Cu toate acestea, este o indicație relativ slabă din cauza riscului de interceptare a identificatorului client de către un atacator. | Da | |||||||||
URL | Adresa serverului ACME, inclusiv https://. | Da | |||||||||
Extended Key Usage | Valoarea este o matrice de șiruri. Fiecare șir este un OID în notație cu puncte. De exemplu, [”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] indică autentificarea clientului și protecția e-mailului. | Nu | |||||||||
HardwareBound | Dacă se adaugă, cheia privată este asociată la dispozitiv. Secure Enclave generează perechea de chei, iar cheia privată este legată criptografic cu o cheie de sistem. Acest lucru împiedică sistemul să exporte cheia privată. Dacă se adaugă, KeyType trebuie să fie ECSECPrimeRandom și KeySize trebuie să fie 256 sau 384. | Da | |||||||||
Key type | Tipul perechii de chei de generat:
| Da | |||||||||
Key size | Valorile valide pentru KeySize depind de valorile KeyType și HardwareBound. | Da | |||||||||
Subject | Dispozitivul solicită acest subiect pentru certificatul emis de serverul ACME. Serverul ACME poate suprascrie sau ignora acest câmp în certificatul pe care îl emite. Reprezentarea unui nume X.500 reprezentat ca matrice OID și valoare. De exemplu, /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, care se traduce după cum urmează: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | Nu | |||||||||
Subject Alternative Name Type | Specificați tipul unui nume alternativ pentru serverul ACME. Tipurile sunt RFC 822 Name, DNS Name și Uniform Resource Identifier (URI). Acesta poate fi localizatorul uniform de resurse (URL), numele uniform de resurse (URN) sau ambele. | Nu | |||||||||
Usage Flags | Această valoare este un câmp bit. Bit 0x01 indică semnătura digitală. Bit 0x10 indică acordul cheilor. Dispozitivul solicită această cheie pentru certificatul emis de serverul ACME. Serverul ACME poate suprascrie sau ignora acest câmp în certificatul pe care îl emite. | Nu | |||||||||
Attest | În cazul în care condiția este adevărată, dispozitivul furnizează serverului ACME atestări care descriu dispozitivul și cheia generată. Serverul poate utiliza atestările drept dovezi puternice că respectiva cheie este legată de dispozitiv și că dispozitivul are proprietățile listate în atestare. Serverul le poate utiliza ca parte a unui scor de încredere pentru a decide dacă emite certificatul solicitat. Când valoarea Attest este adevărată, și valoarea HardwareBound trebuie să fie adevărată. | Nu | |||||||||
Notă: Fiecare furnizor MDM implementează aceste configurări în mod diferit. Pentru a afla cum sunt aplicate diferitele configurări Certificat ACME pentru dispozitivele dvs., consultați documentația oferită de furnizorul soluției MDM.