Параметри набору даних Automated Certificate Management Environment (ACME) MDM для пристроїв Apple.
Ви можете конфігурувати набір даних ACME Certificate (Сертифікат ACME), щоб отримувати сертифікати від центру сертифікації (CA) для пристроїв Apple, які зареєстровано в рішенні MDM (керування мобільними пристроями). ACME — це сучасна альтернатива для SCEP. Це протокол, який запитує та встановлює сертифікати. Використовувати ACME потрібно разом із рішенням Managed Device Attestation.
Набір даних ACME Certificate (Сертифікат ACME) підтримує таке. Докладну інформацію наведено в статті Інформація набору даних.
Підтримуваний ідентифікатор набору даних: com.apple.security.acme
Підтримувані операційні системи та канали: iOS, iPadOS, спільний iPad, пристрій macOS, користувач macOS, tvOS, watchOS 10, visionOS 1.1.
Підтримувані типи реєстрації: реєстрація користувача, реєстрація пристрою та автоматизована реєстрація пристрою.
Дублікати дозволено: Так — пристрою може бути доставлено більш ніж один набір даних ACME Certificate (Сертифікат ACME).
З набором даних ACME Certificate (Сертифікат ACME) можна використовувати параметри, наведені в таблиці нижче.
Параметр | Опис | Обов’язково | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Client identifier (Ідентифікатор клієнта) | Унікальний рядок, що ідентифікує конкретний пристрій. Сервер може використовувати його як значення anti-replay для запобігання видачі декількох сертифікатів. Цей ідентифікатор також указує серверу ACME, що пристрій має доступ до дійсного ідентифікатора клієнта, виданого інфраструктурою підприємства. Це може допомогти серверу ACME визначити, чи варто довіряти пристрою. Хоча це відносно слабка ознака через ризик того, що зловмисник може перехопити ідентифікатор клієнта. | Так | |||||||||
URL-адреса | Адреса сервера ACME, у тому числі https://. | Так | |||||||||
Extended Key Usage (Розширене застосування ключа) | Значення являє собою масив рядків. Кожен рядок — це OID у крапковій нотації. Наприклад, ["1.3.6.1.5.5.7.3.2", "1.3.6.1.5.5.7.3.4"] указує на автентифікацію клієнта та захист електронної пошти. | Ні | |||||||||
HardwareBound (Прив’язка до обладнання) | Якщо додано, приватний ключ прив’язується до пристрою. Secure Enclave генерує пару ключів, і приватний ключ криптографічно пов’язаний із системним ключем. Це запобігає експорту приватного ключа із системи. Якщо додано, KeyType має бути ECSECPrimeRandom, а KeySize має бути 256 або 384. | Так | |||||||||
Key type (Тип ключів) | Тип пари ключів для генерації:
| Так | |||||||||
Key size (Розмір ключа) | Допустимі значення KeySize залежать від значень KeyType та HardwareBound. | Так | |||||||||
Subject (Суб’єкт) | Пристрій запитує цей суб’єкт для сертифіката, який видає сервер ACME. Сервер ACME може перевизначити або проігнорувати це поле в сертифікаті, який він видає. Назва X.500, представлена у вигляді таблиці, що складається з ідентифікаторів OID і відповідних значень. Наприклад, /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, або: [ [ [«C», «US»] ], [ [«O», «Apple Inc.»] ], ..., [ [ «1.2.5.3», «bar» ] ] ] | Ні | |||||||||
Subject Alternative Name Type (Тип альтернативної назви суб’єкта) | Укажіть тип альтернативної назви сервера ACME. Доступні типи: RFC 822 Name, DNS Name та Uniform Resource Identifier (URI). URI можна вказати як Uniform Resource Locator (URL), Uniform Resource Name (URN) або обидві. | Ні | |||||||||
Usage Flags (Прапорці використання) | Це значення є бітовим полем. Біт 0x01 позначає цифровий підпис. Біт 0x10 позначає узгодження ключів. Пристрій запитує цей ключ для сертифіката, який видає сервер ACME. Сервер ACME може перевизначити або проігнорувати це поле в сертифікаті, який він видає. | Ні | |||||||||
Attest (Атестація) | Якщо значення true, пристрій надає атестацію, яка описує пристрій, і згенерований ключ серверу ACME. Сервер може використовувати атестації як надійний доказ того, що ключ прив’язаний до пристрою, і що пристрій має властивості, наведені в атестації. Сервер використовує цю інформацію під час прийняття рішення про випуск запитаного сертифіката. Якщо значення Attest — «true», значення HardwareBound також має бути «true». | Ні | |||||||||
Примітка. Кожен постачальник MDM реалізує ці параметри по-різному. Щоб дізнатися, як різні параметри ACME Certificate (Сертифікат ACME) застосовуються до ваших пристроїв, зверніться до документації постачальника MDM.