إعدادات حمولة MDM الخاصة ببيئة إدارة الشهادات الآلية (ACME) على أجهزة Apple
يمكنك تكوين حمولة شهادة ACME للحصول على شهادات من جهة إصدار الشهادات (CA) لأجهزة Apple المسجلة في حل برنامج إدارة الأجهزة المحمولة (MDM). يُعد ACME بديلاً حديثًا لـ SCEP. إنه بروتوكول لطلب الشهادات وتثبيتها. يلزم استخدام ACME عن استخدام مصادقة الجهاز المُدار.
تدعم حمولة شهادة ACME الآتي. لمزيد من المعلومات، انظر معلومات الحمولة.
معرِّف الحمولة المدعوم: com.apple.security.acme
أنظمة التشغيل والقنوات المدعومة: iOS و iPadOS وجهاز iPad المشترك وجهاز macOS ومستخدم macOS و tvOS و watchOS 10 و visionOS 1.1.
أنواع التسجيل المدعومة: تسجيل المستخدم، تسجيل الجهاز، تسجيل الجهاز التلقائي.
التكرارات المسموح بها: True—يمكن تسليم أكثر من حمولة شهادة ACME واحدة إلى جهاز.
يمكنك استخدام الإعدادات الموجودة في الجدول أدناه مع حمولة شهادة ACME.
الإعداد | Description | مطلوب | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
معرِّف العميل | سلسلة فريدة تحدد جهازًا معينًا. قد يستخدم الخادم هذا كقيمة لمكافحة إعادة التشغيل لمنع إصدار شهادات متعددة. يوضح هذا المعرِّف كذلك لخادم ACME أن الجهاز لديه إمكانية الوصول إلى معرِّف عميل صالح صادر عن البنية التحتية للمؤسسة. يمكن أن يساعد ذلك خادم ACME على تحديد ما إذا كنت ستثق بالجهاز أم لا. على الرغم من أن هذا مؤشر ضعيف نسبيًا بسبب الخطر المتمثل في إمكانية اعتراض مهاجم لمعرِّف العميل. | نعم | |||||||||
الرابط | عنوان خادم ACME، يتضمن https://. | نعم | |||||||||
استعمال المفتاح الممتد | القيمة هي مصفوفة من السلاسل. وكل سلسلة هي معرِّف عناصر (OID) في تدوين منقط. على سبيل المثال، تشير ["1.3.6.1.5.5.7.3.2"، "1.3.6.1.5.5.7.3.4"] إلى مصادقة العميل وحماية البريد الإلكتروني. | لا | |||||||||
الارتباط بالمكونات الصلبة | في حالة الإضافة، يكون المفتاح الخاص مرتبطًا بالجهاز. يُنشئ Secure Enclave زوج مفاتيح، ويكون المفتاح الخاص مرتبطًا بشكل مشفر بمفتاح النظام. يمنع ذلك النظام من تصدير المفتاح الخاص. في حالة الإضافة، يجب أن يكون نوع المفتاح ECSECPrimeRandom وحجم المفتاح 256 أو 384). | نعم | |||||||||
نوع المفتاح | نوع زوج المفاتيح الذي سيتم إنشاؤه:
| نعم | |||||||||
Key size | تستند القيم الصالحة لحجم المفتاح إلى قيم نوع المفتاح والارتباط بالمكونات الصلبة. | نعم | |||||||||
العنوان | يتطلب الجهاز هذا الموضوع للشهادة التي يصدرها خادم ACME. قد يتجاوز خادم ACME هذا الحقل في الشهادة التي يصدرها أو يتجاهله. يتم عرض تمثيل اسم X.500 كمصفوفة من OID والقيمة. على سبيل المثال، /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar، حيث يتم تحويلها إلى: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | لا | |||||||||
Subject Alternative Name Type | حدد نوع الاسم البديل لخادم ACME. الأنواع هي اسم RFC 822، واسم DNS، ومعرف الموارد المنتظم (URI). ويمكن أن يكون هذا هو محدد مواقع الويب (URL) ،أو اسم مورد المعلومات (URN)، أو كليهما. | لا | |||||||||
أعلام استخدام | هذه القيمة حقل بت. يشير البت 0x01 إلى التوقيع الرقمي. يشير البت 0x10 إلى اتفاق المفتاح. يتطلب الجهاز هذا المفتاح للشهادة التي يصدرها خادم ACME. قد يتجاوز خادم ACME هذا الحقل في الشهادة التي يصدرها أو يتجاهله. | لا | |||||||||
مصادقة | إذا كانت القيمة TRUE، يقدم الجهاز شهادات تصف الجهاز والمفتاح الذي تم إنشاؤه لخادم ACME. يمكن للخادم استخدام الشهادات كدليل قوي على أن المفتاح مرتبط بالجهاز وأن الجهاز يحتوي على خصائص مدرجة في الشهادة. يمكن للخادم استخدام ذلك كجزء من درجة الثقة ليقرر ما إذا كان سيصدر الشهادة المطلوبة أم لا. عندما تكون قيمة المصادقة TRUE، يجب أن يكون الارتباط بالمكونات الصلبة TRUE أيضًا. | لا | |||||||||
ملاحظة: يطبق كل بائع MDM هذه الإعدادات بشكل مختلف. لمعرفة كيفية تطبيق إعدادات متعددة لشهادة ACME على أجهزتك، راجع وثائق بائع MDM.