Apple डिवाइस के लिए ऑटोमेटेड सर्टिफ़िकेट प्रबंधन एनवायरन्मेंट (ACME) MDC पेलोड
आप मोबाइल डिवाइस प्रबंधन (MDM) समाधान में नामांकित Apple डिवाइस के लिए सर्टिफ़िकेट अथॉरिटी (CA) से सर्टिफ़िकेट लेने के लिए ACME सर्टिफ़िकेट पेलोड कॉन्फ़िगर कर सकते हैं। ACME, SCEP का आधुनिक विकल्प है। यह सर्टिफ़िकेट का अनुरोध करने और इंस्टॉल करने का प्रोटोकॉल है। प्रबंधित डिवाइस प्रमाणन का उपयोग करते हुए ACME का उपयोग आवश्यक है।
ACME सर्टिफ़िकेट पेलोड निम्नलिखित का समर्थन करता है। अधिक जानकारी के लिए, पेलोड जानकारी देखें।
समर्थित पेलोड आइडेंटिफ़ायर : com.apple.security.acme
समर्थित ऑपरेटिंग सिस्टम और चैनल : iOS, iPadOS, शेयर किया गया iPad डिवाइस, macOS डिवाइस, macOS यूज़र, tvOS, watchOS 10, visionOS 1.1
समर्थित नामांकन प्रकार : यूज़र नामांकन, डिवाइस नामांकन, ऑटोमेटेड डिवाइस नामांकन।
नक़ल की अनुमति है : सही—एक से अधिक ACME सर्टिफ़िकेट पेलोड यूज़र या डिवाइस को डिलीवर किए जा सकते हैं।
आप नीचे टेबल में सेटिंग्ज़ का उपयोग ACME सर्टिफ़िकेट पेलोड के साथ कर सकते हैं।
सेट किया जा रहा है | वर्णन | आवश्यक | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
क्लाइंट आइडेंटिफ़ायर | विशिष्ट डिवाइस की पहचान करने वाली विशिष्ट स्ट्रिंग। एकाधिक सर्टिफ़िकेट जारी करने से रोकने के लिए सर्वर इसे एंटी-रीप्ले मान के रूप में इस्तेमाल कर सकता है। यह आइडेंटिफ़ायर ACME सर्वर को यह भी इंगित करता है कि डिवाइस के पास इंटरप्राइज़ इंफ़्रास्ट्रक्चर द्वारा जारी किए गए मान्य क्लाइंट आइडेंटिफ़ायर का ऐक्सेस है। इससे ACME सर्वर को यह निर्धारित करने में मदद मिल सकती है क्या डिवाइस पर विश्वास करना है। हालाँकि यह इस जोखिम के कारण सापेक्षिक रूप से एक कमज़ोर संकेत है कि अटैकर क्लाइंट आइडेंटिफ़ायर को इंटरसेप्ट कर सकता है। | हाँ | |||||||||
URL | https:// सहित ACME सर्वर का पता। | हाँ | |||||||||
विस्तारित कुंजी प्रयोग | मान स्ट्रिंग का एरे है। हर स्ट्रिंग डॉटेड नोटेशन में एक OID है। उदाहरण के लिए, [”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] क्लाइंट प्रमाणीकरण और ईमेल सुरक्षा का संकेत देता है। | नहीं | |||||||||
HardwareBound | यदि जोड़ी गई है, तो प्राइवेट की डिवाइस से संबद्ध होती है। Secure Enclave द्वारा “की पेयर” को जनरेट किया जाता है और प्राइवेट की एक सिस्टम की के साथ क्रिप्टोग्राफ़िक तरीक़े से जुड़ी होती है। यह सिस्टम को प्राइवेट की एक्सपोर्ट करने से रोकता है। यदि जोड़ी गई है, KeyType को ECSECPrimeRandom और KeySize 256 या 384 होना चाहिए। | हाँ | |||||||||
की टाइप | जनरेट करने के लिए की पेयर का प्रकार :
| हाँ | |||||||||
की आकार | KeySize के मान्य मान KeyType और HardwareBound के मानों पर निर्भर करते हैं। | हाँ | |||||||||
विषय | डिवाइस सर्टिफ़िकेट के लिए इस सब्जेक्ट का अनुरोध करती है जिसे ACME सर्वर जारी करता है। ACME सर्वर द्वारा इसे जारी किए गए सर्टिफ़िकेट में इस फ़ील्ड को ओवरराइड या नज़रंदाज़ किया जा सकता है। किसी X.500 नाम का प्रस्तुतीकरण जो OID और मान की किसी एरे के रूप में प्रस्तुत किया गया है। उदाहरण के लिए, /C=US/O=Apple Inc। /CN=foo/1.2.5.3=bar, जिसे ऐसे रूपांतरित किया जाता है : [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | नहीं | |||||||||
विषय का वैकल्पिक नाम प्रकार | ACME सर्वर के लिए किसी वैकल्पिक नाम का प्रकार निर्दिष्ट करें। RFC 822 नाम, DNS नाम और एकीकृत संसाधन आइडेंटिफ़ायर (URI) प्रकार हैं। यह एकीकृत संसाधन लोकेटर (URL), एकीकृत संसाधन नाम (URN), या दोनों हो सकता है। | नहीं | |||||||||
उपयोग फ़्लैग | यह मान बिट फ़ील्ड है। Bit 0x01 डिजिटल सिग्नेचर का संकेत देता है। Bit 0x10 प्रमुख अनुबंध का संकेत देता है। डिवाइस सर्टिफ़िकेट के लिए इस की का अनुरोध करता है जिसे ACME सर्वर जारी करता है। ACME सर्वर द्वारा इसे जारी किए गए सर्टिफ़िकेट में इस फ़ील्ड को ओवरराइड या नज़रंदाज़ किया जा सकता है। | नहीं | |||||||||
प्रमाणित करें | यदि सत्य है, तो डिवाइस का वर्णन करने वाला प्रमाणन और ACME सर्वर में जनरेट की डिवाइस प्रदान करता है। सर्वर प्रमाणन का उपयोग इस बात के प्रभावी साक्ष्य के रूप में कर सकता है कि ‘की’ डिवाइस से संबद्ध है और यह कि डिवाइस के पास प्रमाणन में सूचीबद्ध प्रॉपर्टी है। सर्वर इसका उपयोग यह निर्णय लेने के लिए ट्रस्ट स्कोर के हिस्से के रूप में कर सकता है कि क्या अनुरोधित सर्टिफ़िकेट जारी किया जाए। जब प्रमाणन सही होता है, तो HardwareBound भी सही होना चाहिए। | नहीं | |||||||||
नोट : प्रत्येक MDM वेंडर इन सेटिंग्ज़ को अलग-अलग तरीक़ों से लागू करता है। यह जानने के लिए कि आपके डिवाइस पर विभिन्न ACME सर्टिफ़िकेट सेटिंग्ज़ कैसे लागू की जाती हैं, अपने MDM वेंडर के दस्तावेज़ देखें।