将证书分发给 Apple 设备
你可以手动将证书分发到 iPhone、iPad 和 Apple Vision Pro 设备。用户收到证书后,可以轻点以查看内容,然后再次轻点以将此证书添加到设备。身份证书安装后,系统将请用户提供用于保护证书的密码。如果无法验证证书的真实性,则会将其显示为不可信证书,用户可决定是否要将其添加到设备中。
你可以手动将证书分发给 Mac 电脑。用户收到证书后,只需连按该证书即可打开“钥匙串访问”并查看内容。如果证书与预期相符,用户可以选择想要的钥匙串并点按“添加”按钮。绝大部分用户证书需要在登录钥匙串中安装。身份证书安装后,系统将请用户提供用于保护证书的密码。如果无法验证证书的真实性,则会将其显示为不可信证书,用户可决定是否要将其添加到 Mac 中。
部分证书身份可在 Mac 电脑上自动续期。
使用 MDM 有效负载的证书部署方法
下表显示了使用配置描述文件部署证书的不同有效负载。这些有效负载包括 Active Directory 证书有效负载、证书有效负载(针对 PKCS #12 身份证书)、自动化证书管理环境 (ACME) 有效负载以及简单证书注册协议 (SCEP) 有效负载。
有效负载 | 支持的操作系统和通道 | 描述 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Active Directory 证书有效负载 | macOS 设备 macOS 用户 | 通过配置 Active Directory 证书有效负载,macOS 通过远程过程调用直接向 Active Directory 证书服务服务器颁发的 CA 发出证书签名请求。你可以使用 Active Directory 中 Mac 电脑的对象的凭证来注册机器身份。用户可以在注册过程中提供他们的凭证,以预置个人身份。使用此有效负载,管理员可对专用密钥的使用和注册用的证书模板拥有更多的控制。与 SCEP 一样,专用密钥保留在设备上。 | |||||||||
ACME 有效负载 | iOS iPadOS “共享 iPad”设备 macOS 设备 macOS 用户 Apple tvOS watchOS 10 visionOS 1.1 | 设备为 MDM 解决方案中注册的 Apple 设备获取来自 CA 的证书。使用此技术时,专用密钥仅保留在设备上,也可选择通过硬件绑定到设备。 | |||||||||
证书有效负载(针对 PKCS #12 身份证书) | iOS iPadOS “共享 iPad”设备 macOS 设备 macOS 用户 Apple tvOS watchOS 10 visionOS 1.1 | 如果身份以用户或设备名义预置在设备上,则可以将它打包到 PKCS #12 文件(.p12 或 .pfx)并使用密码进行保护。如果有效负载包含密码,则身份可在不提示用户的情况下进行安装。 | |||||||||
SCEP 有效负载 | iOS iPadOS “共享 iPad”设备 macOS 设备 macOS 用户 Apple tvOS watchOS 10 visionOS 1.1 | 设备直接向注册服务器提出证书签名申请。使用此技术时,专用密钥仅保留在设备上。 | |||||||||
若要关联服务与某个特定身份,请先配置 ACME、SCEP 或证书有效负载,然后在同一配置描述文件中配置想要的服务。例如,可以配置 SCEP 有效负载来为设备预置一个身份,然后在同一配置描述文件中,使用在 SCEP 注册中获取的用于认证的设备证书来为 WPA2 企业级/EAP-TLS 配置无线局域网有效负载。
若要将服务与 macOS 中的某个特定身份关联,请先配置 Active Directory 证书、ACME、SCEP 或证书有效负载,然后在同一配置描述文件中配置想要的服务。例如,你可以配置 Active Directory 证书有效负载来为设备预置一个身份,然后在同一配置描述文件中,使用在 Active Directory 证书注册中获取的用于认证的设备证书来为 WPA2 企业级 (EAP-TLS) 配置无线局域网有效负载。
续期通过配置描述文件安装的证书
为确保持续访问服务,请在证书过期之前,续期使用 MDM 解决方案部署的证书。为了续期,MDM 解决方案会查询所安装的证书、检查有效期并在到期日之前签发新的描述文件或配置。
对于 Active Directory 证书,当证书身份作为设备描述文件的一部分部署时,在 macOS 13 或更高版本中会默认自动续期。管理员可以设定系统偏好设置以修改此行为。有关更多信息,请参阅 Apple 支持文章:自动续订通过配置描述文件交付的证书。
通过“邮件”或 Safari 浏览器安装证书
你可以将证书作为邮件附件发送,或将证书托管到安全的网站,供用户将其下载到自己的 Apple 设备上。
移除和撤销证书
通过 MDM 解决方案可以查看设备上的所有证书,以及移除其中已安装的任何证书。
此外,支持通过在线证书状态协议 (OCSP) 来检查证书的状态。使用支持 OCSP 的证书时,iOS、iPadOS、macOS 和 visionOS 会定期验证证书,确保它未被撤销。
若要使用配置描述文件撤销证书,请参阅“证书撤销” MDM 有效负载设置。
若要手动移除 iOS、iPadOS、visionOS 1.1 或更高版本中某个已安装的证书,请前往“设置”>“通用”>“设备管理”,选择一个描述文件,轻点“更多详细信息”,然后轻点证书以移除。如果移除访问账户或网络必需的证书,iPhone、iPad 或 Apple Vision Pro 将无法再连接到这些服务。
若要手动移除 macOS 中已安装的证书,请开启“钥匙串访问” App,然后搜索该证书。选择该证书,然后将它从钥匙串中删除。如果你移除的证书是访问账户或网络所必需的,Mac 将无法再连接到这些服务。