Definições de carga útil de MDM de ambiente automatizado de gestão de certificados (ACME) para dispositivos Apple
Pode configurar a carga útil de certificado ACME para obter certificados de uma autoridade de certificação (CA) para dispositivos Apple registados numa solução de gestão de dispositivos móveis (MDM). ACME é uma alternativa moderna ao SCEP. É um protocolo para solicitar e instalar certificados. É necessária a utilização de ACME ao usar a comprovação de dispositivos geridos.
A carga útil de certificado ACME suporta o seguinte. Encontrará informação adicional em Informação sobre a carga útil.
Identificador de carga útil suportado: com.apple.security.acme
Sistemas operativos e canais compatíveis: iOS, iPadOS, dispositivo iPad partilhado, dispositivo macOS, utilizador do macOS, tvOS, watchOS 10, visionOS 1.1.
Tipos de registo suportados: registo do utilizador, registo do dispositivo, registo automático de dispositivos.
Duplicados permitidos: verdadeiro — várias cargas úteis de certificado ACME podem ser entregues a um dispositivo.
É possível usar as definições da tabela abaixo com a carga útil de certificado ACME.
Definição | Descrição | Necessário | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Client identifier (Identificador de cliente) | Uma cadeia única que identifica um dispositivo específico. O servidor pode usar isto como um valor anti-repetição para impedir a emissão de vários certificados. Este identificador também indica ao servidor ACME que o dispositivo tem acesso a um identificador de cliente válido emitido pela infraestrutura empresarial. Isto pode ajudar o servidor ACME a determinar se deve confiar no dispositivo. Embora seja uma indicação relativamente fraca devido ao risco de um atacante poder intercetar o identificador de cliente. | Sim | |||||||||
URL | O endereço do servidor ACME, incluindo https://. | Sim | |||||||||
Extended Key Usage (Utilização de chave ampliada) | O valor é uma matriz de cadeias. Cada cadeia é um OID em notação pontilhada. Por exemplo, [”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] indica autenticação do cliente e proteção de e-mail. | Não | |||||||||
HardwareBound | Se for adicionada, a chave privada fica ligada ao dispositivo. O Secure Enclave gera o par de chaves, e a chave privada fica criptograficamente presa a uma chave do sistema. Isto impede que o sistema exporte a chave privada. Se for adicionado, KeyType tem de ser ECSECPrimeRandom e KeySize tem de ser 256 ou 384.) | Sim | |||||||||
Key type (Tipo de chave) | O tipo de par de chaves que é gerado:
| Sim | |||||||||
Key size (Tamanho da chave) | Os valores válidos para KeySize dependem dos valores de KeyType e HardwareBound. | Sim | |||||||||
Subject (Assunto) | O dispositivo solicita este assunto para o certificado que o servidor ACME emite. O servidor ACME pode substituir ou ignorar este campo no certificado que emite. A representação de um nome X.500 representado como uma matriz de OID e valor. Por exemplo, /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, que se traduz por: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | Não | |||||||||
Subject Alternative Name Type (Tipo do nome alternativo do sujeito) | Especifique o tipo de um nome alternativo para o servidor ACME. Os tipos são Nome RFC 822, Nome DNS e Identificador Uniforme de Recursos (URI). Isso pode ser um localizador uniforme de recursos (URL), um nome uniforme de recursos (URN) ou ambos. | Não | |||||||||
Usage Flags (Marcadores de utilização) | Este valor é um campo de bits. Bit 0x01 indica assinatura digital. Bit 0x10 indica acordo de chave. O dispositivo solicita esta chave para o certificado que o servidor ACME emite. O servidor ACME pode substituir ou ignorar este campo no certificado que emite. | Não | |||||||||
Attest (Atestar) | Se verdadeiro, o dispositivo fornece atestados que descrevem o dispositivo e a chave gerada para o servidor ACME. O servidor pode usar atestados como forte indício de que a chave que está vinculada ao dispositivo e que o dispositivo tem propriedades listadas no atestado. O servidor pode usar essa parte de uma pontuação de confiança para decidir se pretende emitir o certificado solicitado. Quando Attest é verdadeiro, HardwareBound também tem de ser verdadeiro. | Não | |||||||||
Nota: cada fornecedor de MDM implementa essas definições de forma diferente. Para saber como as várias definições de certificado ACME são aplicadas aos seus dispositivos, consulte a documentação do seu fornecedor de MDM.