Distribuera certifikat till Apple-enheter
Du kan manuellt distribuera certifikat till iPhone-, iPad- och Apple Vision Pro-enheter. En användare som tar emot ett certifikat behöver bara trycka på det för att visa innehållet, och sedan trycka igen för att lägga till det på enheten. När ett ID-certifikat installeras ombeds användaren ange lösenordet som skyddar det. Om certifikatets giltighet inte kan fastställas visas det som ogiltigt. Användaren kan välja om det ändå ska sparas på enheten.
Du kan manuellt distribuera certifikat till Mac-datorer. När användarna tar emot ett certifikat behöver de bara dubbelklicka på det för att öppna Nyckelhanterare och visa innehållet. Om certifikatet ser ut som förväntat väljer användarna en nyckelring och klickar på lägg till-knappen. De flesta användarcertifikat måste installeras i inloggningsnyckelringen. När ett ID-certifikat installeras ombeds användaren ange lösenordet som skyddar det. Om certifikatets giltighet inte kan fastställas visas det som otillförlitligt. Användaren kan välja om det ändå ska sparas på datorn.
Vissa certifikatidentiteter kan förnyas automatiskt på Mac-datorer.
Metoder för certifikatdriftsättning med MDM-nyttolaster
Följande tabell visar de olika nyttolasterna för driftsättning av certifikat med konfigurationsprofiler. De inkluderar nyttolasten Active Directory Certificate, nyttolasten Certificate (för ett PKCS #12-identitetscertifikat), nyttolasten Automated Certificate Management Environment (ACME) och nyttolasten Simple Certificate Enrollment Protocol (SCEP).
Nyttolast | Operativsystem och kanaler som stöds | Beskrivning | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Nyttolasten Active Directory Certificate | macOS-enhet macOS-användare | Genom att konfigurera Active Directory Certificate-nyttolasten placerar macOS en certifikatsigneringsförfrågan direkt hos en Active Directory-certifikattjänstserver som utfärdar CA via ett fjärrproceduranrop. Du kan registrera maskinidentiteter med inloggningsuppgifterna för Mac-datorns objekt i Active Directory. Användarna kan tillhandahålla sina inloggningsuppgifter som en del av registreringsprocessen för att tillhandahålla individuella identiteter. Genom att använda den här nyttolasten får administratörer ytterligare kontroll över användningen av privata nycklar och certifikatmallen för registrering. Precis som för SCEP ligger den privata nyckeln kvar på enheten. | |||||||||
Nyttolasten ACME | iOS iPadOS Delad iPad-enhet macOS-enhet macOS-användare tvOS watchOS 10 visionOS 1.1 | Enheten får tillgång till certifikat från en CA för Apple-enheter som har registrerats i en MDM-lösning. Med den här tekniken finns den privata nyckeln bara på enheten och kan maskinvarukopplas till enheten. | |||||||||
Nyttolasten Certificates (för PKCS #12-identitetscertifikat) | iOS iPadOS Delad iPad-enhet macOS-enhet macOS-användare tvOS watchOS 10 visionOS 1.1 | Om identiteten tillhandahålls utanför enheten åt användaren eller enheten kan den paketeras i en PKCS #12-fil (.p12 eller .pfx) och skyddas med ett lösenord. Om nyttolasten innehåller lösenordet kan identiteten installeras utan att användaren behöver göra något. | |||||||||
Nyttolasten SCEP | iOS iPadOS Delad iPad-enhet macOS-enhet macOS-användare tvOS watchOS 10 visionOS 1.1 | Enheten skickar en begäran om certifikatsignering direkt till en registreringsserver. Med den här tekniken finns den privata nyckeln bara på enheten. |
För att koppla tjänster till en viss identitet konfigurerar du först en ACME, SCEP eller certifikatnyttolast. Konfigurera sedan den önskade tjänsten i samma konfigurationsprofil. En SCEP-nyttolast kan t.ex. konfigureras för att tillhandahålla en identitet åt enheten, och i samma konfigurationsprofil kan en Wi-Fi-nyttolast konfigureras för WPA2 Enterprise/EAP-TLS genom att använda det enhetscertifikat som skapas vid SCEP-registreringen för autentisering.
För att koppla tjänster till en viss identitet i macOS konfigurerar du först en Active Directory Certificate-, ACME-, SCEP- eller certifikatnyttolast. Konfigurera sedan den önskade tjänsten i samma konfigurationsprofil. Du kan t.ex. konfigurera en Active Directory Certificate-nyttolast för att tillhandahålla en identitet åt enheten, och i samma konfigurationsprofil kan en Wi-Fi-nyttolast konfigureras för WPA2 Enterprise EAP-TLS genom att använda det enhetscertifikat som skapas av Active Directory Certificate-registreringen för autentisering.
Förnya certifikat som installerats av konfigurationsprofiler
För att säkerställa tillgången till tjänster bör certifikat som driftsatts med en MDM-lösning förnyas innan de löper ut. MDM-lösningar kan skicka förfrågningar till installerade certifikat, granska giltighetsdatum och utfärda en ny profil eller konfiguration i god tid.
När certifikatidentiteter för Active Directory-certifikat driftsätts som en del av en enhetsprofil är det förvalda beteendet automatisk förnyelse i macOS 13 eller senare. Administratörer kan konfigurera en systeminställning som ändrar det här beteendet. Mer information finns i Apple Support-artikeln Förnya certifikat automatiskt via en konfigurationsprofil.
Installera certifikat med Mail eller Safari
Du kan skicka ett certifikat som en e-postbilaga, eller publicera ett certifikat på en säker webbplats så att användarna kan hämta det därifrån till sina Apple-enheter.
Ta bort och återkalla certifikat
En MDM-lösning kan visa alla certifikat på en enhet och radera installerade certifikat.
Protokollet OCSP (Online Certificate Status Protocol) kan också användas till att kontrollera certifikatens status. När ett OCSP-aktiverat certifikat används kommer iOS, iPadOS, macOS och visionOS regelbundet att kontrollera om det har återkallats.
Ta reda på hur du återkallar certifikat med en konfigurationsprofil i MDM-inställningar för nyttolasten Certificate Revocation.
Om du vill ta bort ett installerat certifikat i iOS, iPadOS, visionOS 1.1 eller senare manuellt öppnar du Inställningar > Allmänt > Enhetshantering. Välj en profil, tryck på Fler detaljer och ta sedan bort certifikatet genom att trycka på det. Om du raderar ett certifikat som krävs för anslutning till ett konto eller nätverk kan iPhone, iPad eller Apple Vision Pro inte längre ansluta till dessa tjänster.
Om du vill ta bort ett installerat certifikat i macOS manuellt öppnar du appen Nyckelhanterare och söker efter certifikatet. Markera det och radera det sedan från nyckelringen. Om du raderar ett certifikat som krävs för åtkomst till ett konto eller nätverk kan Mac-datorn inte längre ansluta till dessa tjänster.