Varmenteiden jakelu Apple-laitteille
Voit jakaa varmenteita iPhone-, iPad- ja Apple Vision Pro ‑laitteisiin manuaalisesti. Kun varmenne vastaanotetaan, käyttäjä voi tarkistaa sen tiedot napauttamalla ja lisätä sitten varmenteen laitteeseen napauttamalla. Kun henkilövarmenne asennetaan, käyttäjiltä pyydetään sitä suojaava salasana. Jos varmenteen aitoutta ei voida varmistaa, se näytetään ei-luotettuna ja käyttäjä voi päättää, lisääkö sen laitteeseen.
Voit jakaa varmenteita Mac-tietokoneisiin manuaalisesti. Kun käyttäjät saavat varmenteen, he voivat avata sen Avainnippu-apissa kaksoisklikkaamalla ja tarkistaa sen sisällön. Jos varmenne vastaa odotuksia, käyttäjät valitsevat halutun avainnipun ja klikkaavat Lisää-painiketta. Useimmat käyttäjävarmenteet pitää asentaa sisäänkirjautumisavainnippuun. Kun henkilövarmenne asennetaan, käyttäjiltä pyydetään sitä suojaava salasana. Jos varmenteen aitoutta ei voida varmistaa, se näytetään ei-luotettuna ja käyttäjä voi päättää, lisääkö sen Maciin.
Jotkin varmenneidentiteetit voidaan uudistaa automaattisesti Mac-tietokoneissa.
Varmenteiden käyttönottotavat, kun käytetään MDM-tietosisältöjä
Seuraavissa taulukoissa on esitetty eri tietosisällöt varmenteiden käyttöönottamiseen asetusprofiilien avulla. Niihin sisältyvät Active Directory ‑varmenne ‑tietosisältö, Varmenne-tietosisältö (PKCS #12 ‑henkilövarmenteelle), Automated Certificate Management Environment (ACME) ‑tietosisältö ja Simple Certificate Enrollment Protocol (SCEP) ‑tietosisältö.
Tietosisältö | Tuetut käyttöjärjestelmät ja kanavat | Kuvaus | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Active Directory -varmenne ‑tietosisältö | macOS-laite macOS-käyttäjä | Kun Active Directory -varmenne -tietosisältö määritetään, macOS lähettää varmenteen allekirjoituspyynnön etäkutsuna suoraan Active Directory Certificate Services ‑palvelimen varmentajalle. Voit rekisteröidä koneidentiteetit käyttämällä Active Directoryssa Mac-tietokoneen objektin tunnistetietoja. Käyttäjät voivat antaa tunnistetietonsa yksittäisten identiteettien provisiointia varten osana rekisteröitymisprosessia. Tätä tietosisältöä käytettäessä yksityisen avaimen käyttö ja varmennetyöpohja rekisteröitymistä varten ovat paremmin ylläpitäjien hallinnassa. Kuten SCEP:nkin tapauksessa, yksityinen avain pysyy laitteella. | |||||||||
ACME-tietosisältö | iOS iPadOS Jaettu iPad ‑laite macOS-laite macOS-käyttäjä tvOS watchOS 10 visionOS 1.1 | Laite saa varmenteet MDM-ratkaisuun rekisteröityjen Apple-laitteiden varmentajalta. Tällä tekniikalla yksityinen avain pysyy ainoastaan laitteessa ja voidaan valinnaisesti sitoa kyseiseen laitteistoon. | |||||||||
Varmenteet-tietosisältö (PKCS #12 ‑henkilövarmenteelle) | iOS iPadOS Jaettu iPad ‑laite macOS-laite macOS-käyttäjä tvOS watchOS 10 visionOS 1.1 | Jos identiteetti provisioidaan muualle kuin laitteeseen käyttäjän tai laitteen puolesta, se voidaan pakata PKCS #12 ‑tiedostoon (.p12 tai .pfx) ja suojata salasanalla. Jos data sisältää salasanan, identiteetti voidaan asentaa pyytämättä sitä käyttäjältä. | |||||||||
SCEP-tietosisältö | iOS iPadOS Jaettu iPad ‑laite macOS-laite macOS-käyttäjä tvOS watchOS 10 visionOS 1.1 | Laite pyytää varmenteen allekirjoittamista suoraan rekisteröintipalvelimelta. Tässä menettelyssä yksityinen avain pysyy vain laitteella. | |||||||||
Palvelut voidaan yhdistää tiettyyn identiteettiin määrittämällä ACME-, SCEP- tai varmennetietosisältö ja määrittämällä sitten haluttu palvelu samaan asetusprofiiliin. Tämä voi toimia esimerkiksi siten, että määritetään SCEP-tietosisältö provisioimaan laitteelle identiteetti, ja samassa asetusprofiilissa määritetään WPA2 Enterpriselle (EAP-TLS) Wi-Fi-tietosisältö, joka käyttää todentamiseen SCEP-rekisteröinnistä saatavaa laitevarmennetta.
Palvelut voidaan yhdistää tiettyyn identiteettiin macOS:ssä määrittämällä Active Directory -varmenne-, ACME-, SCEP- tai varmennetietosisältö ja määrittämällä sitten haluttu palvelu samaan asetusprofiiliin. Voit esimerkiksi määrittää Active Directory ‑varmenne ‑tietosisällön provisioimaan laitteelle identiteetin ja määrittää samassa asetusprofiilissa WPA2 Enterpriselle (EAP-TLS) Wi-Fi-tietosisällön, joka käyttää todentamiseen Active Directory ‑varmenteen rekisteröinnistä saatavaa laitevarmennetta.
Asetusprofiileilla asennettujen varmenteiden uusiminen
Jotta palveluiden käyttö ei keskeytyisi, MDM-ratkaisun avulla käyttöönotetut varmenteet tulee uusia ennen kuin ne vanhentuvat. Sitä varten MDM-ratkaisut voivat kysellä asennettuja varmenteita, tarkistaa vanhentumispäivän ja antaa uuden profiilin tai määrityksen etukäteen.
Active Directory ‑varmenteiden osalta oletustoimintatapa on macOS 13:ssa ja uudemmissa automaattinen uusiminen, kun varmenneidentiteetit on otettu käyttöön osana laiteprofiilia. Ylläpitäjät voivat muuttaa tätä toimintatapaa järjestelmäasetuksella. Jos haluat lisätietoja, tutustu Applen tukiartikkeliin Asetusprofiilin kautta lähetettyjen varmenteiden automaattinen uusinta.
Varmenteiden asentaminen Mailia tai Safaria käyttäen
Voit lähettää varmenteen sähköpostiviestin liitteenä tai pitää varmennetta suojatulla verkkosivustolla, josta käyttäjät voivat ladata varmenteen Apple-laitteilleen.
Varmenteiden poistaminen ja peruminen
MDM-ratkaisu voi tarkistaa kaikki laitteella olevat varmenteet ja poistaa varmenteet, jotka se on asentanut.
Lisäksi OCSP-protokollaa tuetaan varmenteiden tilan tarkistamiseen. Kun käytetään OCSP-yhteensopivaa varmennetta, iOS, iPadOS, macOS ja visionOS tarkistavat ajoittain, että sitä ei ole peruttu.
Jos haluat kumota varmenteita asetusprofiililla, katso Varmenteen kumoamisen MDM-tietosisältöasetukset.
Asennettu varmenne voidaan poistaa iOS:stä, iPadOS:stä, visionOS 1.1:stä tai uudemmista manuaalisesti avaamalla Asetukset > Yleiset > Laitehallinta, valitsemalla profiili, napauttamalla Lisätietoja ja poistamalla varmenne napauttamalla. Jos poistat tilin tai verkon käyttöön tarvittavan varmenteen, iPhone, iPad tai Apple Vision Pro ei voi enää yhdistää kyseisiin palveluihin.
Asennettu varmenne voidaan poistaa macOS:stä manuaalisesti avaamalla Avainnippu‑appi ja etsimällä varmenne sen hakutoiminnolla. Valitse se ja poista se sitten avainnipusta. Jos poistat tilin tai verkon käyttöön tarvittavan varmenteen, Mac ei voi enää yhdistää kyseisiin palveluihin.