Distribuer sertifikater til Apple-enheter
Du kan distribuere sertifikater til iPhone-, iPad- og Apple Vision Pro-enheter manuelt. Når brukere mottar et sertifikat, kan de trykke for å gå gjennom innholdet, og deretter trykke for å legge til sertifikatet på enheten. Når et identitetssertifikat er installert, blir brukerne bedt om å oppgi passordet som beskytter det. Hvis det ikke er mulig å verifisere ektheten til et sertifikat, vises det som ikke-godkjent, og brukeren kan velge om hun eller han vil legge det på enheten.
Du kan distribuere sertifikater til Macer manuelt. Når brukere mottar et sertifikat, dobbeltklikker de på det for å åpne Nøkkelringtilgang og gå gjennom innholdet. Hvis sertifikatet stemmer med behovet, velger brukeren ønsket nøkkelring og klikker på Legg til. De fleste brukersertifikater må installeres i påloggingsnøkkelringen. Når et identitetssertifikat er installert, blir brukerne bedt om å oppgi passordet som beskytter det. Hvis det ikke kan bekreftes at et sertifikat er autentisk, vises det som ikke godkjent, og brukeren kan velge om hun eller han vil legge det til på Macen.
Enkelte sertifikatidentiteter kan fornyes automatisk på Macer.
Metoder for sertifikatutrulling med MDM-nyttelaster
Tabellen nedenfor viser de forskjellige nyttelastene for sertifikatutrulling med konfigurasjonsprofiler. Disse inkluderer Active Directory Certificate-nyttelasten, Sertifikat-nyttelasten (for et PKCS #12 identitetssertifikat), ACME-nyttelasten (Automated Certificate Management Environment) og SCEP-nyttelasten (Simple Certificate Enrollment Protocol).
Nyttelast | Støttede operativsystemer og kanaler | Beskrivelse | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Active Directory Certificate-nyttelast | macOS-enhet macOS-bruker | Ved å konfigurere Active Directory Certificate-nyttelasten plasserer macOS en sertifikatsigneringsforespørsel (CSR) direkte hos en Active Directory Certificate Services-tjenerutstedende sertifiseringsmyndighet (CA) via Remote Procedure Call (RPC). Du kan registrere maskinidentiteter ved hjelp av akkreditivene til Macens objekt i Active Directory. Brukere kan oppgi akkreditivene som en del av registreringsprosessen for å tilordne individuelle identiteter. Med denne nyttelasten har administratorer ytterligere kontroll over privat nøkkel-bruk og sertifikatmalen for registrering. Som i SCEP, forblir den private nøkkelen på enheten. | |||||||||
ACME-nyttelast | iOS iPadOS Delt iPad-enhet macOS-enhet macOS-bruker tvOS watchOS 10 visionOS 1.1 | Enheten henter sertifikater fra en sertifikatautoritet (CA) for Apple-enheter som er registrert i en MDM-løsning. Ved hjelp av denne teknikken forblir den private nøkkelen kun på enheten, og den kan bli maskinvarebundet til enheten. | |||||||||
Sertifikat-nyttelast (for PKCS #12-identitetssertifikat) | iOS iPadOS Delt iPad-enhet macOS-enhet macOS-bruker tvOS watchOS 10 visionOS 1.1 | Hvis identiteten klargjøres fra enheten på vegne av brukeren eller enheten, kan den pakkes i en PKCS #12-fil (.p12 eller .pfx) og beskyttes med et passord. Hvis nyttelasten inneholder passordet, kan identiteten installeres uten å be brukeren om det. | |||||||||
SCEP-nyttelast | iOS iPadOS Delt iPad-enhet macOS-enhet macOS-bruker tvOS watchOS 10 visionOS 1.1 | Enheten sender sertifikatsigneringsforespørselen direkte til en registreringstjener. Ved hjelp av denne teknikken forblir den private nøkkelen kun på enheten. | |||||||||
For å knytte tjenester til en bestemt identitet konfigurerer du en ACME, SCEP eller en sertifikatnyttelast og konfigurerer deretter den ønskede tjenesten i den samme konfigurasjonsprofilen. For eksempel kan en SCEP-nyttelast konfigureres til å klargjøre en identitet for enheten, og i samme konfigurasjonsprofil kan en Wi-Fi-nyttelast konfigureres for WPA2 Enterprise, EAP-TLS ved hjelp av enhetssertifikatet som kommer fra SCEP-registreringen for autentisering.
Hvis du vil knytte tjenester til en bestemt identitet i macOS, konfigurerer du en Active Directory Certificate-, ACME-, SCEP- eller sertifikatnyttelast, og deretter konfigurerer du den ønskede tjenesten i den samme konfigurasjonsprofilen. Du kan for eksempel konfigurere en Active Directory Certificate-nyttelast til å klargjøre en identitet for enheten, og i samme konfigurasjonsprofil kan en Wi-Fi-nyttelast konfigureres for WPA2 Enterprise EAP-TLS ved hjelp av enhetssertifikatet som kommer fra Active Directory Certificate-registreringen for autentisering.
Forny sertifikater installert av konfigurasjonsprofiler
For å sikre kontinuerlig tjenestetilgang, bør sertifikater som bruker en MDM-løsning, fornyes før de utløper. For å gjøre dette kan MDM-løsninger sende en spørring til installerte sertifikater, inspisere utløpsdatoen og utstede en ny profil eller konfigurasjon på forhånd.
For Active Directory-sertifikater, når sertifikatidentiteter rulles ut som en del av en enhetsprofil, er standard oppførsel automatisk fornyelse i macOS 13 og nyere. Administratorer kan angi en systeminnstilling for å endre denne oppførselen. Hvis du vil ha mer informasjon kan du se Apple-kundestøtteartikkelen Automatisk fornyelse av sertifikater som leveres via en konfigurasjonsprofil.
Installer sertifikater ved hjelp av Mail eller Safari
Du kan sende et sertifikat som et vedlegg i en e-postmelding, eller du kan ha et sertifikat på et sikkert nettsted der brukere laster ned sertifikatet til Apple-enhetene sine.
Fjerne og kalle tilbake sertifikater
En MDM-løsning kan vise alle sertifikater på en enhet og fjerne alle sertifikater den har installert.
I tillegg støttes Online Certificate Status Protocol (OCSP) for kontroll av sertifikatstatus. Når et OCSP-aktivert sertifikat brukes, kontrollerer iOS, iPadOS, macOS og visionOS jevnlig at det ikke er tilbakekalt.
Hvis du vil tilbakekalle sertifikater ved hjelp av en konfigurasjonsprofil, kan du se MDM-innstillinger for Certificate Revocation-nyttelast.
Hvis du vil fjerne et installert sertifikat manuelt i iOS, iPadOS eller visionOS 1.1 eller nyere, velger du Innstillinger > Generelt > Enhetsadministrering, velger en profil, trykker på Flere detaljer og trykker deretter på sertifikatet for å fjerne det. Hvis du fjerner et sertifikat som er påkrevd for å få tilgang til en konto eller et nettverk, kan ikke iPhone, iPad eller Apple Vision Pro koble til de aktuelle tjenestene.
Hvis du vil fjerne et installert sertifikat manuelt i macOS, starter du Nøkkelringtilgang-appen og søker deretter etter sertifikatet. Marker det, og slett det deretter fra nøkkelringen. Hvis du fjerner et sertifikat som er påkrevd for å få tilgang til en konto eller et nettverk, kan ikke Macen koble til de aktuelle tjenestene.