Distribúcia certifikátov na Apple zariadenia
Certifikáty môžete na zariadenia iPhone, iPad a Apple Vision Pro distribuovať manuálne. Keď užívatelia prijmú certifikát, klepnutím môžu zobraziť jeho obsah a následne ho pridať do zariadenia ďalším klepnutím. Keď je nainštalovaný certifikát identity, užívatelia budú vyzvaní na zadanie hesla, ktoré ho chráni. Ak nie je možné overiť autentickosť certifikátu, zobrazí sa ako nedôveryhodný a užívateľ sa môže rozhodnúť, či ho pridá do zariadenia.
Na počítače Mac môžete distribuovať certifikáty manuálne. Keď užívatelia príjmu certifikát, dvakrát naň kliknú, čím sa otvorí aplikácia Kľúčenka, a skontroľujú obsah. Ak sa certifikát zhoduje s očakávaniami, užívatelia vyberú požadovanú kľúčenku a kliknú na tlačidlo Pridať. Väčšinu užívateľských certifikátov je potrebné nainštalovať v prihlasovacej kľúčenke. Keď je nainštalovaný certifikát identity, užívatelia budú vyzvaní na zadanie hesla, ktoré ho chráni. Ak nie je možné overiť autentickosť certifikátu, zobrazí sa ako nedôveryhodný a užívateľ sa môže rozhodnúť, či ho pridá do Macu.
Niektoré identity certifikátu sa môžu na počítačoch Mac automaticky obnoviť.
Spôsoby nasadenia certifikátov pomocou objemov dát MDM
V nasledujúcej tabuľke sú uvedené rôzne objemy dát na nasadenie certifikátov pomocou konfiguračných profilov. Patria medzi ne objemy dát certifikátu Active Directory, Certificate (pre certifikát identity PKCS #12), Automated Certificate Management Environment (ACME) a Simple Certificate Enrollment Protocol (SCEP).
Objem dát | Podporované operačné systémy a kanály | Popis | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Objem dát certifikátu Active Directory | macOS zariadenie macOS užívateľ | Nakonfigurovaním objemu dát certifikátu Active Directory umiestni systém macOS žiadosť o podpis certifikátu priamo na server certifikačných služieb Active Directory, ktorý vydáva CA cez volanie vzdialenej procedúry. Identity zariadenia môžete zaregistrovať pomocou prihlasovacích údajov objektu počítača Mac v Active Directory. Užívatelia môžu zadať svoje prihlasovacie údaje ako súčasť procesu registrácie na obstaranie jednotlivých identít. Pomocou tohto objemu dát majú správcovia dodatočnú kontrolu nad používaním súkromného kľúča a šablónu certifikátu pre registráciu. Ako pri SCEP, súkromný kľúč ostáva na zariadení. | |||||||||
Objem dát ACME | iOS iPadOS Zdieľané zariadenie iPad macOS zariadenie macOS užívateľ tvOS watchOS 10 visionOS 1.1 | Apple zariadenia zaregistrované v riešení MDM môžu certifikáty získať od CA. Táto technika umožňuje ponechať súkromný kľúč len na zariadení a prípadne je ho možné so zariadením hardvérovo zviazať. | |||||||||
Objem dát Certificates (pre certifikát identity PKCS #12) | iOS iPadOS Zdieľané zariadenie iPad macOS zariadenie macOS užívateľ tvOS watchOS 10 visionOS 1.1 | Ak sa identita obstaráva v mene zariadenia alebo užívateľa, avšak poza zariadením, je možné ju uložiť do súboru PKCS #12 (.p12 or .pfx) a chrániť heslom. Ak objem dát obsahuje heslo, identitu je možné nainštalovať bez toho, aby bol na to vyzvaný užívateľ. | |||||||||
Objem dát SCEP | iOS iPadOS Zdieľané zariadenie iPad macOS zariadenie macOS užívateľ tvOS watchOS 10 visionOS 1.1 | Zariadenie umiestni požiadavku na podpísanie certifikátu priamo na registračný server. Pri tejto technike zostane súkromný kľúč len na zariadení. |
Ak chcete priradiť služby ku konkrétnej identite, nakonfigurujte objem dát ACME, SCEP alebo objem dát certifikátu a potom nastavte požadovanú službu v rovnakom konfiguračnom profile. Takto je možné napríklad nakonfigurovať objem dát SCEP poskytujúci zariadeniu identitu a v rovnakom konfiguračnom profile nastaviť objem dát Wi-Fi pre protokol WPA2 Enterprise/EAP-TLS s overením pomocou certifikátu zariadenia získaného pri registrácii SCEP.
Na priradenie služieb ku konkrétnej identite v systéme macOS nakonfigurujte certifikát Active Directory, ACME, SCEP alebo objem dát certifikátu a následne nakonfigurujte požadovanú službu v tom istom konfiguračnom profile. Takto je možné napríklad nakonfigurovať objem dát certifikátu Active Directory poskytujúci zariadeniu identitu a v rovnakom konfiguračnom profile nastaviť objem dát Wi-Fi pre protokol WPA2 Enterprise/EAP-TLS s použitím certifikátu zariadenia. Výsledkom je registrácia objemu dát certifikátu Active Directory na overovanie.
Obnovenie certifikátov nainštalovaných pomocou konfiguračných profilov
V záujme zabezpečenia trvalého prístupu k službám by mali byť certifikáty nasadené pomocou riešenia MDM obnovované skôr, ako im vyprší platnosť. Na tento účel môžu riešenia MDM vyhľadať nainštalované certifikáty, skontrolovať dátum vypršania platnosti a vydať nový profil alebo konfiguráciu v predstihu.
V prípade certifikátov služby Active Directory platí, že ak sú certifikačné identity nasadené ako súčasť profilu zariadenia, predvoleným správaním je automatické obnovenie v systéme macOS 13 alebo novšom. Správcovia môžu nastaviť systémové nastavenie, ktoré toto správanie zmení. Viac informácií nájdete v článku podpory Apple Automatické obnovenie certifikátov doručených cez konfiguračný profil.
Inštalácia certifikátov pomocou Mailu alebo Safari
Certifikát môžete odoslať ako prílohu emailovej správy alebo hosťovať na zabezpečenej webovej stránke, z ktorej si ho užívatelia stiahnu na Apple zariadenia.
Odstraňovanie a odvolávanie certifikátov
Riešenie MDM dokáže zobraziť všetky certifikáty na zariadení a odstrániť akékoľvek nainštalované certifikáty.
Okrem toho je kvôli kontrole stavu certifikátov podporovaný aj Stavový protokol certifikátov online (OCSP). Keď sa používa certifikát s protokolom OCSP, systémy iOS, iPadOS, macOS aj visionOS ho pravidelne overujú s cieľom zistiť, či nebol odvolaný.
Ak chcete odvolať certifikáty s použitím konfiguračného profilu, pozrite si tému Nastavenia objemu dát MDM Zrušenie certifikátu.
Ak chcete manuálne odstrániť nainštalovaný certifikát v iOS, iPadOS, visionOS 1.1 alebo novšom, prejdite do Nastavenia > Všeobecné > Správa zariadenia, vyberte profil, klepnite na Podrobnosti a potom klepnutím odstráňte certifikát. Ak odstránite certifikát, ktorý je potrebný na prístup k účtu alebo sieti, iPhone, iPad alebo Apple Vision Pro sa už nebude môcť k týmto službám pripájať.
Ak chcete manuálne odstrániť nainštalovaný certifikát v macOS, spustite apku Kľúčenka a potom vyhľadajte certifikát. Vyberte ho a následne ho odstráňte z kľúčenky. Ak odstránite certifikát, ktorý je potrebný na prístup k účtu alebo sieti, Mac sa už nebude môcť k týmto službám pripájať.