Distribuir certificados para dispositivos Apple
Você pode distribuir certificados para dispositivos iPhone, iPad e Apple Vision Pro manualmente. Ao receber um certificado, o usuário toca para analisar o conteúdo e toca novamente para adicionar o certificado ao dispositivo. Quando um certificado de identidade é instalado, o usuário é solicitado a digitar a senha que o protege. Se a autenticidade do certificado não puder ser verificada, ele é mostrado como não confiável e o usuário pode decidir se deseja adicioná-lo ao dispositivo.
Você pode distribuir certificados para computadores Mac manualmente. Ao receber um certificado, o usuário o clica duas vezes para abri-lo no Acesso às Chaves e revisar o conteúdo. Se o certificado corresponder ao esperado, o usuário seleciona as chaves desejadas e clica no botão Adicionar. A maioria dos certificados de usuário precisa ser instalada nas chaves de início de sessão. Quando um certificado de identidade é instalado, o usuário é solicitado a digitar a senha que o protege. Se a autenticidade do certificado não puder ser verificada, ele é mostrado como não confiável e o usuário pode decidir se deseja adicioná-lo ao Mac.
Algumas identidades de certificado podem ser renovadas automaticamente em computadores Mac.
Métodos de implementação de certificados com payloads MDM
A tabela a seguir mostra os diversos payloads usados para implementar certificados com perfis de configuração. Esses incluem o payload de Certificado do Active Directory, o payload de Certificado (para um certificado de identidade PKCS #12), o payload de Ambiente de Gerenciamento Automatizado de Certificados (ACME) e o payload de Protocolo de Registro de Certificado Simples (SCEP).
Entidade | Sistemas operacionais compatíveis e canais | Descrição | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Payload de Certificado do Active Directory | Dispositivo macOS Usuário do macOS | Através da configuração do payload de Certificado do Active Directory, o macOS faz uma solicitação de assinatura de certificado diretamente à AC emissora de um servidor de Serviços de Certificado do Active Directory por uma chamada de procedimento remoto. As credenciais do objeto de computador do Mac no Active Directory podem ser usadas para registrar identidades de equipamento. Os usuários podem fornecer suas credenciais como parte do processo de registro para provisionar identidades individuais. Com o uso deste payload, administradores têm controle adicional do uso da chave privada e do modelo de certificado para registro. Assim como ao usar o SCEP, a chave privada permanece no dispositivo. | |||||||||
Payload ACME | iOS iPadOS Dispositivo iPad Compartilhado Dispositivo macOS Usuário do macOS tvOS watchOS 10 visionOS 1.1 | O dispositivo obtém certificados de uma AC para dispositivos Apple registrados em uma solução MDM. Com essa técnica, a chave privada permanece apenas no dispositivo e pode, opcionalmente, ser vinculada ao hardware do dispositivo. | |||||||||
Payload de Certificados (para o certificado de identidade PKCS #12) | iOS iPadOS Dispositivo iPad Compartilhado Dispositivo macOS Usuário do macOS tvOS watchOS 10 visionOS 1.1 | Se a identidade estiver sendo fornecida do dispositivo em nome do usuário ou do dispositivo, ela pode ser colocada em um arquivo PKCS #12 (.p12 ou .pfx) e protegida por uma senha. Se o payload contiver a senha, a identidade pode ser instalada sem a interação do usuário; | |||||||||
SCEP payload | iOS iPadOS Dispositivo iPad Compartilhado Dispositivo macOS Usuário do macOS tvOS watchOS 10 visionOS 1.1 | o dispositivo gera um pedido de assinatura de certificado diretamente em um servidor de registro. Com essa técnica, a chave privada permanece apenas no dispositivo. | |||||||||
Para associar os serviços a uma identidade específica, configure um payload ACME, SCEP ou de certificado e configure o serviço desejado no mesmo perfil de configuração. Por exemplo, um payload SCEP pode ser configurado para fornecer uma identidade ao dispositivo e, no mesmo perfil de configuração, um payload de Wi‑Fi pode ser configurado para WPA2 Empresarial/EAP-TLS ao usar o certificado do dispositivo resultante do registro SCEP para autenticação.
Para associar os serviços a uma identidade específica no macOS, configure um payload de Certificado do Active Directory, ACME, SCEP ou de certificado e configure o serviço desejado no mesmo perfil de configuração. Por exemplo, um payload de Certificado do Active Directory pode ser configurado para provisionar uma identidade ao dispositivo e, no mesmo perfil de configuração, um payload de Wi‑Fi pode ser configurado para WPA2 Empresarial EAP-TLS ao usar o certificado do dispositivo resultante do registro no Certificado do Active Directory para autenticação.
Renove certificados instalados por perfis de configuração
Para garantir acesso ininterrupto a serviços, os certificados que usam uma solução MDM para implementação devem ser renovados antes que vençam. Para fazer isso, as soluções MDM podem consultar os certificados instalados, inspecionar a data de validade e emitir um novo perfil ou configuração com antecedência.
No caso de certificados do Active Directory, quando as identidades de certificado são implementadas como parte do perfil de um dispositivo, o comportamento padrão é de renovação automática no macOS 13 ou posterior. Administradores podem definir uma preferência do sistema para modificar esse comportamento. Para obter mais informações, consulte o artigo de Suporte da Apple Renovar automaticamente certificados distribuídos por meio de um perfil de configuração.
Instalação de certificados usando o Mail ou o Safari
Você pode enviar um certificado em forma de anexo por uma mensagem de e-mail ou hospedá-lo em um site seguro, onde os usuários poderão transferi-lo para seus dispositivos da Apple.
Remova e revogue certificados
Uma solução MDM pode visualizar todos os certificados em um dispositivo e remover qualquer certificado instalado por ela.
Além disso, há suporte para o Online Certificate Status Protocol (OCSP) para verificar o estado de certificados. Quando um certificado compatível com OCSP é usado, o iOS, o iPadOS, o macOS e o visionOS o validam periodicamente para certificarem-se de que ele não tenha sido revogado.
Para revogar certificados usando um perfil de configuração, consulte Ajustes do payload MDM de Revogação de Certificado.
Para remover manualmente um certificado instalado no iOS, iPadOS, visionOS 1.1 ou posteriores, abra Ajustes > Geral > Gerenciamento de Dispositivos, selecione um perfil, toque em Mais Detalhes e toque no certificado para removê-lo. Caso você remova um certificado que seja necessário para acessar uma conta ou rede, o dispositivo iPhone, iPad ou Apple Vision Pro não poderá mais se conectar ao serviço.
Para remover manualmente um certificado instalado no macOS, abra o app Acesso às Chaves e busque o certificado. Selecione-o e apague-o das chaves. Caso remova um certificado que seja necessário para acessar uma conta ou rede, o Mac não poderá mais se conectar ao serviço.