Ustawienia pakietu danych automatycznego środowiska zarządzania certyfikatami (ACME) dla urządzeń Apple
Możesz skonfigurować ustawienia pakietu danych ACME Certificate dotyczące pobierania certyfikatów z urzędu certyfikacji (CA) na urządzeniach Apple zarejestrowanych w rozwiązaniu MDM. Protokół ACME to nowoczesna alternatywa dla SCEP. Jest to protokół żądania i instalowania certyfikatów. Korzystanie z usługi ACME jest wymagane w przypadku korzystania z funkcji Atestacji urządzeń zarządzanych.
Pakiet danych ACME Certificate obsługuje elementy przedstawione poniżej. Aby uzyskać więcej informacji, zobacz: Informacje o pakietach danych.
Obsługiwany identyfikator pakietu: com.apple.security.acme
Obsługiwane systemy operacyjne i kanały: iOS, iPadOS, wspólny iPad (urządzenie), macOS (urządzenie), macOS (użytkownik), tvOS, watchOS 10, visionOS 1.1.
Obsługiwane typy rejestracji: rejestracja użytkownika, rejestracja urządzenia, automatyczna rejestracja urządzenia.
Dozwolone duplikaty: Prawda — do urządzenia może zostać dostarczony więcej niż jeden pakiet danych ACME Certificate.
Z pakietem danych certyfikatu ACME możesz użyć ustawień przedstawionych w poniższej tabeli.
Ustawienie | Opis | Wymagane | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Client identifier (Identyfikator klienta) | Unikalny ciąg znaków identyfikujący określone urządzenie. Serwer może użyć wartości zapobiegania powtarzaniu, aby uniemożliwić wydawanie wielu certyfikatów. Ten identyfikator wskazuje również serwerowi ACME, że urządzenie ma dostęp do prawidłowego identyfikatora klienta wydanego przez infrastrukturę przedsiębiorstwa. Może to pomóc serwerowi ACME w ustaleniu, czy ufać urządzeniu. Chociaż jest to stosunkowo słaba wskazówka ze względu na ryzyko przechwycenia identyfikatora klienta przez atakującego. | Tak | |||||||||
URL | Adres serwera ACME, wraz z początkiem „https://”. | Tak | |||||||||
Extended Key Usage (Rozszerzone użycie klucza) | Wartość stanowi szereg ciągów. Każdy ciąg to identyfikator OID w notacji z kropkami. Na przykład [„1.3.6.1.5.5.7.3.2”, „1.3.6.1.5.5.7.3.4”] wskazuje na uwierzytelnianie klienta i ochronę poczty e-mail. | Nie | |||||||||
HardwareBound | Jeśli zostanie dodany, klucz prywatny jest powiązany z urządzeniem. Secur Enclave generuje parę kluczy, a klucz prywatny staje się kryptograficznie splątany z kluczem systemowym. Uniemożliwia to systemowi wyeksportowanie klucza prywatnego. Jeśli zostanie dodany, KeyType musi mieć wartość ECSECPrimeRandom, a KeySize musi wynosić 256 lub 384. | Tak | |||||||||
Key type (Typ klucza) | Typ pary kluczy do wygenerowania:
| Tak | |||||||||
Key size (Rozmiar klucza) | Prawidłowe wartości parametru KeySize zależą od wartości parametrów KeyType i HardwareBound. | Tak | |||||||||
Subject (Podmiot) | Urządzenie żąda tego podmiotu dla certyfikatu wystawianego przez serwer ACME. Serwer ACME może zastąpić lub zignorować to pole w certyfikacie, który wystawia. Nazwa w notacji X.500, przedstawiona jako tablica złożona z identyfikatorów OID oraz odpowiadających im wartości. Na przykład: /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, czyli: [ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ [ "1.2.5.3", "bar" ] ] ] | Nie | |||||||||
Subject Alternative Name Type (Typ alternatywnej nazwy podmiotu) | Podaj typ nazwy alternatywnej serwera ACME. Dostępne typy to: RFC 822 Name (Nazwa RFC 822), DNS Name (Nazwa DNS) oraz Uniform Resource Identifier (URI). URI może być podany jako URL, jako URN lub jako URL z URN. | Nie | |||||||||
Usage Flags (Flagi użytkowania) | Ta wartość to pole bitowe. Bit 0x01 oznacza podpis cyfrowy. Bit 0x10 oznacza uzgadnianie kluczy. Urządzenie żąda tego klucza dla certyfikatu wystawianego przez serwer ACME. Serwer ACME może zastąpić lub zignorować to pole w certyfikacie, który wystawia. | Nie | |||||||||
Attest (Poświadczenie) | Jeśli ma wartość true (prawda), urządzenie zapewnia atestacje opisujące urządzenie i wygenerowany klucz dla serwera ACME. Serwer może używać tych atestacji jako mocnych dowodów, że klucz jest przypisany do urządzenia i urządzenie ma przedstawione w nich właściwości. Serwer może tego używać w ramach oceny zaufania, aby zdecydować, czy wydać żądany certyfikat. Gdy ustawienie Attest ma wartość true, HardwareBound musi również mieć wartość true. | Nie | |||||||||
Uwaga: Każdy dostawca rozwiązań MDM wdraża te ustawienia w inny sposób. Aby dowiedzieć się, jak różne ustawienia certyfikatu ACME są stosowane do Twoich urządzeń, zapoznaj się z dokumentacją dostawcy rozwiązania MDM.