MDM-inställningar för nyttolasten Automated Certificate Management Environment (ACME) för Apple-enheter
Du kan konfigurera nyttolasten ACME Certificate för att få tillgång till certifikat från en certifikatutfärdare (CA) för Apple-enheter som har registrerats i en MDM-lösning. ACME är ett modernt alternativ till SCEP. Är ett protokoll för att begära och installera certifikat. ACME krävs när hanterad enhetsattestering används.
Nyttolasten ACME Certificate stöder följande. Mer information finns i Nyttolastinformation.
Nyttolastidentifierare som stöds: com.apple.security.acme
Operativsystem och kanaler som stöds: iOS, iPadOS, Delad iPad-enhet, macOS-enhet, macOS-användare, tvOS, watchOS 10, visionOS 1.1.
Registreringstyper som stöds: användarregistrering, enhetsregistrering, automatisk enhetsregistrering.
Dubbletter tillåts: Flera – fler än en ACME Certificate-nyttolast kan levereras till en enhet.
Du kan använda inställningarna i tabellen nedan med nyttolasten ACME Certificate.
Inställning | Beskrivning | Krävs | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Client identifier | En unik sträng som identifierar en specifik enhet. Servern kan använda den som ett anti-replay-värde i syfte att förhindra utfärdande av flera certifikat. Detta ID signalerar även till ACME-servern att enheten har tillgång till en giltig klientidentifierare som har utfärdats av företagets infrastruktur. Det kan hjälpa ACME-servern att avgöra om enheten är betrodd. Detta är dock en relativt svag signal på grund av risken för att en angripare kan avlyssna klientidentifieraren. | Ja | |||||||||
URL | ACME-serverns adress, inklusive https://. | Ja | |||||||||
Extended Key Usage | Värdet är en array med strängar. Varje sträng är en OID i punktnotation. Exempelvis indikerar [”1.3.6.1.5.5.7.3.2”, ”1.3.6.1.5.5.7.3.4”] klientautentisering och e-postskydd. | Nej | |||||||||
HardwareBound | Om det här läggs till kopplas den privata nyckeln till enheten. Secure Enclave genererar nyckelparet och den privata nyckeln kombineras kryptografiskt med en systemnyckel. Detta förhindrar att systemet exporterar den privata nyckeln. Om det läggs till måste KeyType vara ECSECPrimeRandom och KeySize måste vara 256 eller 384. | Ja | |||||||||
Key type | Typen av nyckelpar som ska genereras:
| Ja | |||||||||
Key size | Giltiga värden för KeySize beror på värdena för KeyType och HardwareBound. | Ja | |||||||||
Subject | Enheten begär detta ämne för certifikatet som ACME-servern utfärdar. ACME-servern kan förbigå eller ignorera det här fältet i certifikatet den utfärdar. Representationen av ett X.500-namn i form av en lista med OID och värde. Till exempel /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, som betyder: [ [ [”C”, ”US”] ], [ [”O”, ”Apple Inc.”] ], ..., [ [ ”1.2.5.3”, ”bar” ] ] ] | Nej | |||||||||
Subject Alternative Name Type | Ange typ av alternativnamn för ACME-servern. Typer är RFC 822 Name, DNS Name och URI (Uniform Resource Identifier). Det här kan vara en URL (Uniform Resource Locator ), en URN (Uniform Resource Name) eller både och. | Nej | |||||||||
Usage Flags | Det här värdet är ett bitfält. Bit 0x01 indikerar digital signatur. Bit 0x10 indikerar nyckelavtal. Enheten begär denna nyckel för certifikatet som ACME-servern utfärdar. ACME-servern kan förbigå eller ignorera det här fältet i certifikatet den utfärdar. | Nej | |||||||||
Attest | Om detta är sant tillhandahåller enheten attesteringar som beskriver enheten och de genererade nycklarna till ACME-servern. Servern kan använda attesteringarna som ett starkt bevis på att nyckeln är kopplad till enheten och att enheten har egenskaper som listas i attesteringen. Servern kan använda den som en del av en tillförlitlighetspoäng för att avgöra om den ska utfärda det begärda certifikatet. När Attest är sant måste även HardwareBound vara sant. | Nej | |||||||||
Obs! Olika MDM-leverantörer implementerar de här inställningarna på olika sätt. Läs dokumentationen från MDM-leverantören om du vill veta hur olika ACME Certificate-inställningar används för dina enheter.