發布憑證到 Apple 裝置
你可以手動發布憑證到 iPhone、iPad 和 Apple Vision Pro 裝置。當使用者收到憑證時,他們輕點即可查看內容,然後再輕點將憑證添加到裝置中。當安裝識別身分憑證之後,系統會要求使用者輸入用來保護識別身分的密碼。如果憑證的真實性無法驗證,憑證會顯示為不受信任,使用者可以決定是否要將憑證加入到裝置裡。
你可以手動發布憑證到 Mac 電腦。當使用者收到憑證時,只需按兩下即可打開「鑰匙圈存取」並查看內容。若憑證符合預期,使用者可選取想要的鑰匙圈並按一下「加入」按鈕。大多數的使用者憑證需要安裝在登入鑰匙圈中。當安裝識別身分憑證之後,系統會要求使用者輸入用來保護識別身分的密碼。如果憑證的真實性無法驗證,憑證會顯示為不受信任,使用者可以決定是否要將憑證加入 Mac。
部分憑證識別身分可在 Mac 電腦上自動更新。
使用 MDM 承載資料的憑證部署方式
下表顯示使用設定描述檔部署憑證的不同承載資料。其中包含「Active Directory 憑證」承載資料、「憑證」承載資料、(適用於 PKCS #12 識別身分憑證)、「自動憑證管理環境(ACME)」承載資料以及「簡單憑證註冊通訊協定」(SCEP)承載資料。
承載資料 | 支援的作業系統和頻道 | 說明 | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Active Directory 憑證承載資料 | macOS 裝置 macOS 使用者 | 藉由設定「Active Directory 憑證」承載資料,macOS 會將憑證簽署要求直接置入使用「遠端程序呼叫」發出 CA 的「Active Directory 憑證服務」伺服器。你可以使用 Active Directory 中的 Mac 電腦物件憑證來註冊機器識別身分。使用者可提供其憑證做為註冊程序的一部分,來佈建單一的識別身分。使用此承載資料,管理者可進一步控制專用密鑰的使用,以及用於註冊的憑證樣板。與 SCEP 相同,專用密鑰會保留在裝置上。 | |||||||||
ACME 承載資料 | iOS iPadOS 「共享的 iPad」裝置 macOS 裝置 macOS 使用者 tvOS watchOS 10 visionOS 1.1 | 裝置會向註冊 MDM 解決方案的 Apple 裝置適用的 CA 取得憑證。透過此技術,專用密鑰只會留在裝置上,也可選擇設為綁定裝置的硬體。 | |||||||||
「憑證」承載資料(適用於 PKCS #12 識別身分憑證) | iOS iPadOS 「共享的 iPad」裝置 macOS 裝置 macOS 使用者 tvOS watchOS 10 visionOS 1.1 | 若是代表使用者或裝置在裝置外佈建識別身分,則該識別身分可被包裹在 PKCS #12 檔案中(.p12 或 .pfx)並以密碼加以保護。若承載資料包含密碼,則可安裝識別身分而無需提示使用者。 | |||||||||
SCEP 承載資料 | iOS iPadOS 「共享的 iPad」裝置 macOS 裝置 macOS 使用者 tvOS watchOS 10 visionOS 1.1 | 裝置會將憑證簽署要求直接置入註冊伺服器中。透過此技術,專用密鑰只會留在裝置上。 |
若要與特定識別身分連結服務,請設定 ACME、SCEP 或憑證承載資料,然後在相同的設定描述檔中設定想要的服務。例如,SCEP 承載資料可被設定來為裝置佈建識別身分,而在相同的設定描述檔中,可使用 SCEP 註冊作業所產生的裝置憑證來為 WPA2 企業級/EAP-TLS 設定 Wi-Fi 承載資料,以進行認證。
若要與 macOS 中的特定識別身分連結服務,請設定 Active Directory 憑證、ACME、SCEP 或憑證承載資料,然後在相同的設定描述檔中設定所需的服務。例如,你可以設定「Active Directory 憑證」承載資料來為裝置佈建識別身分,而在相同的設定描述檔中,可使用「Active Directory 憑證」註冊作業所產生的裝置憑證來為 WPA2 企業級 EAP-TLS 設定 Wi-Fi 承載資料,以進行認證。
更新設定描述檔安裝的憑證
為確保可不間斷存取服務,使用 MDM 解決方案部署的憑證應在到期前更新。如要執行此操作,MDM 解決方案可以查詢安裝的憑證、檢查到期日並提前核發新的描述檔或設定。
若使用 Active Directory 憑證,當憑證識別身分是作為裝置描述檔的一部分部署時,macOS 13 或以上版本的預設行為是自動續約。管理者可設定系統偏好設定以修改此行為。如需更多資訊,請參閱 Apple 支援文章:自動更新透過設定描述檔傳送的憑證。
使用「郵件」或 Safari 安裝憑證
你可以使用郵件的附件來傳送憑證或將憑證託管在安全的網站上,讓使用者在其 Apple 裝置上下載憑證。
移除和撤銷憑證
MDM 解決方案可以檢視裝置上所有憑證,也可以移除它所安裝的任何憑證。
此外,還支援以「線上憑證狀態通訊協定」(OCSP)來檢查憑證的狀態。使用經 OCSP 認可的憑證時,iOS、iPadOS、macOS 與 visionOS 會定期進行驗證,以確保憑證未被撤銷。
若要使用設定描述檔撤銷憑證,請參閱:「憑證撤銷」MDM 承載資料設定。
若要手動移除 iOS、iPadOS、visionOS 1.1 或以上版本中安裝的憑證,請前往「設定」>「一般」>「裝置管理」,選取描述檔,點一下「更多詳細資訊」,然後點一下憑證來將其移除。如果你移除了連接帳號或網路所需的憑證,iPhone、iPad 或 Apple Vision Pro 便無法再連接這些服務。
若要手動移除 macOS 中安裝的憑證,請啟動「鑰匙圈存取」App,然後搜尋憑證。將其選取,然後從鑰匙圈中刪除。如果你移除了連接帳號或網路所需的憑證,Mac 便無法再連接這些服務。