Distribuir certificados a dispositivos Apple
Pode distribuir manualmente os certificados a dispositivos iPhone, iPad e Apple Vision Pro. Quando os utilizadores recebem um certificado, tocam nela para rever o conteúdo e, em seguida, adicionam o certificado ao dispositivo. Quando é instalado um certificado de identidade, a palavra-passe que o protege é solicitada aos utilizadores. Se não for possível verificar a autenticidade de um certificado, este é apresentada como não fidedigna, e o utilizador pode decidir se o quer adicionar ao dispositivo.
Pode distribuir manualmente os certificados a computadores Mac. Quando os utilizadores recebem um certificado, fazem duplo clique no mesmo para abrir o Acesso ao Porta-chaves e rever os conteúdos. Se o certificado corresponder às expetativas, os utilizadores selecionam o porta-chaves pretendido e clicam no botão Adicionar. A maior parte dos certificados de utilizador têm de ser instalados no porta-chaves de início de sessão. Quando é instalado um certificado de identidade, a palavra-passe que o protege é solicitada aos utilizadores. Se não for possível verificar a autenticidade de um certificado, este é apresentada como não fidedigna, e o utilizador pode decidir se o quer adicionar ao Mac.
Algumas identidades de certificado podem ser renovadas automaticamente em computadores Mac.
Métodos de implementação de certificados usando as cargas úteis de MDM
A seguinte tabela mostra as diferentes cargas úteis para a implementação de certificados usando os perfis de configuração. Estes incluem a carga útil de certificado de Active Directory, a carga útil de certificado (para um certificado de identidade PKCS #12), a carga útil de ambiente automatizado de gestão de certificados (ACME) e a carga útil de protocolo simples de registo para certificados (SCEP).
Carga útil | Sistemas operativos e canais compatíveis | Descrição | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Carga útil de certificado de Active Directory | Dispositivo macOS Utilizador do macOS | Ao configurar a carga útil de Certificado do Active Directory, o macOS coloca um pedido de assinatura de certificado diretamente junto da AC emissora do servidor de serviços de certificado Active Directory através de uma chamada de procedimento remoto. Pode registar identidades de máquina usando as credenciais do objeto do computador Mac no Active Directory. Os utilizadores podem fornecer as suas credenciais como parte do processo de registo para fornecer identidades individuais. Ao usar esta carga útil, os administradores têm controlo adicional sobre a utilização de chave privada e o modelo de certificado para registo. Tal como acontece com o SCEP, a chave privada mantém-se no dispositivo. | |||||||||
Carga útil de ACME | iOS iPadOS Dispositivo do iPad partilhado Dispositivo macOS Utilizador do macOS tvOS watchOS 10 visionOS 1.1 | O dispositivo obtém certificados de uma AC para dispositivos Apple registados numa solução MDM. Com esta técnica, a chave privada só permanece no dispositivo e pode opcionalmente ser vinculada por hardware ao dispositivo. | |||||||||
Carga útil de certificados (para certificado de identidade PKCS #12) | iOS iPadOS Dispositivo do iPad partilhado Dispositivo macOS Utilizador do macOS tvOS watchOS 10 visionOS 1.1 | se a identidade estiver a ser fornecida através do dispositivo em nome do utilizador ou dispositivo, pode ser colocado num pacote num ficheiro PKCS #12 (.p12 ou .pfx) e protegido com uma palavra-passe. A identidade pode ser instalada sem o utilizador receber algum pedido para tal se a carga útil tiver a palavra-passe. | |||||||||
Carga SCEP | iOS iPadOS Dispositivo do iPad partilhado Dispositivo macOS Utilizador do macOS tvOS watchOS 10 visionOS 1.1 | o dispositivo coloca o pedido de assinatura do certificado diretamente num servidor de registo. Com esta técnica, a chave privada só permanece no dispositivo. | |||||||||
Para associar serviços a uma identidade particular, configure um ACME, SCEP ou carga útil de certificado e configure então o serviço desejado no mesmo perfil de configuração. Por exemplo, é possível configurar uma carga útil SCEP para fornecer uma identidade para o dispositivo e, no mesmo perfil de configuração, é possível configurar uma carga útil de Wi-Fi para WPA2 Enterprise/EAP-TLS usando o certificado do dispositivo que resulta do registo SCEP para autenticação.
Para associar serviços a uma identidade particular no macOS, configure uma carga útil de Certificado do Active Directory, ACME, SCEP ou de certificado e, depois, configure o serviço desejado no mesmo perfil de configuração. Por exemplo, é possível configurar uma carga útil de certificado de Active Directory para fornecer uma identidade para o dispositivo e, no mesmo perfil de configuração, uma carga útil de Wi-Fi para WPA2 Enterprise EAP-TLS usando o certificado do dispositivo que resulta do registo do certificado de Active Directory para autenticação.
Renovar certificados instalados pelos perfis de configuração.
Para garantir um acesso contínuo ao serviço, os certificados implementados com uma solução MDM devem ser renovados antes de caducarem. Para isso, as soluções MDM podem consultar os certificados instalados, inspecionar a data de expiração e emitir antecipadamente um novo perfil ou configuração.
Para certificados de Active Directory, quando as identidades de certificado são implementadas como parte do perfil de um dispositivo, o comportamento predefinido é a renovação automática no macOS 13 ou posterior. Os administradores podem definir uma preferência do sistema para alterar este comportamento. Encontrará mais informação no artigo do Suporte Apple Renovar automaticamente certificados entregues através de um perfil de configuração.
Instalar certificados com o Mail ou Safari
Pode enviar um certificado como um anexo para uma mensagem de e-mail ou ser anfitrião de um certificado num site seguro onde os utilizadores descarregam o certificado nos seus dispositivos Apple.
Remover e revogar certificados
Uma solução MDM pode visualizar todos os certificados num dispositivo e remova quaisquer certificados instalados.
Adicionalmente, é suportado o OCSP (protocolo do estado online do certificado) para verificar o estado dos certificados. Quando é utilizado um certificado com ativação OCSP, tanto o iOS, iPadOS, macOS e visionOS validam esse certificado periodicamente para se assegurarem de que não foi revogado.
Para revogar certificados com um perfil de configuração, consulte Definições de carga útil de MDM de revogação de certificado.
Para remover manualmente um certificado instalado no iOS, iPadOS e visionOS 1.1 ou posterior, vá a Definições > Geral > Gestão de dispositivos, selecione um perfil, toque em "Mais detalhes" e, depois, toque no certificado para o remover. O iPhone, iPad ou Apple Vision Pro deixará de estabelecer ligação a determinados serviços se remover um certificado que é necessário para aceder a uma conta ou rede.
Para remover manualmente um certificado instalado no macOS, abra a aplicação Acesso ao Porta-chaves e, em seguida, pesquise o certificado. Selecione-o e, em seguida, apague-o do porta-chaves. O Mac deixará de estabelecer ligação a determinados serviços se remover um certificado que é necessário para aceder a uma conta ou rede.