Ajustes de la carga útil de MDM “Entorno de gestión de certificados automatizado (ACME)” para dispositivos Apple
Puedes configurar la carga útil de los certificados ACME para obtener certificados de una autoridad de certificación (CA) para dispositivos Apple inscritos en una solución de gestión de dispositivos móviles (MDM). ACME es una alternativa moderna a SCEP. Es un protocolo para solicitar e instalar certificados. ACME es necesario para utilizar la atestación de dispositivos gestionada.
La carga útil “Certificado ACME” es compatible con lo indicado a continuación. Para obtener más información, consulta Información de carga útil.
Identificador de carga compatible: com.apple.security.acme
Sistemas operativos compatibles y canales: iOS, iPadOS, dispositivo iPad compartido, dispositivo macOS, usuario de macOS, tvOS, watchOS 10, visionOS 1.1.
Tipos de inscripciones admitidas: Inscripción de usuarios, inscripción de dispositivos e inscripción automatizada de dispositivos.
Se permiten duplicados: True (verdadero): se puede entregar a un usuario o dispositivo más de una carga útil “Certificado ACME”.
Asimismo, puedes usar los ajustes de la tabla siguiente con la carga útil “Certificado ACME”.
Ajuste | Descripción | Obligatorio | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Identificador de cliente | Una cadena única que identifica un dispositivo específico. El servidor puede usar este ajuste como valor antirreproducción para evitar emitir múltiples certificados. Además, este identificador también informa al servidor ACME de que el dispositivo tiene acceso a un identificador de cliente válido emitido por la infraestructura empresarial. Esta información puede serle de utilidad al servidor ACME para decidir sobre la confianza del dispositivo. Sin embargo,, esta indicación es relativamente débil porque hay riesgo de que un intruso pueda interceptar el identificador de cliente. | Sí | |||||||||
URL | La dirección del servidor ACME, incluido el prefijo https://. | Sí | |||||||||
Uso de clave ampliada | El valor es una matriz de cadenas. Cada cadena es un OID en notación punto. Por ejemplo, [”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] indica la autenticación de cliente y la protección de correo electrónico. | No | |||||||||
HardwareBound | Si se añade este valor, la clave privada se enlaza con el dispositivo. Secure Enclave genera el par de claves y la clave privada se cifra criptográficamente con una clave del sistema. De esta manera se impide que el sistema exporte la clave privada. Si se añaden, el valor de KeyType debe ser ECSECPrimeRandom y el de KeySize, 256 o 384. | Sí | |||||||||
Tipo de clave | Tipo de par de claves que generar:
| Sí | |||||||||
Tamaño de la clave | Los valores válidos de KeySize dependen de los valores de KeyType y HardwareBound. | Sí | |||||||||
Asunto | El dispositivo solicita a este sujeto el certificado que emite el servidor ACME. El servidor ACME puede anular o ignorar este campo en el certificado que emite. La representación de un nombre X.500 representada como una matriz de OID y valor. Por ejemplo, /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, que se traduce en: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | No | |||||||||
Tipo de nombre alternativo del sujeto | Especifica el tipo de un nombre alternativo para el servidor ACME. Los tipos son “Nombre RFC 822”, “Nombre DNS” e “Identificador de recursos uniforme (URI)”. Este puede ser el localizador de recursos uniforme (URL), el nombre de recurso uniforme (URN), o ambos. | No | |||||||||
Indicadores de uso | Este valor es un campo de bits. Bit 0x01 indica firma digital. Bit 0x10 indica contrato de clave. El dispositivo solicita a esta clave el certificado que emite el servidor ACME. El servidor ACME puede anular o ignorar este campo en el certificado que emite. | No | |||||||||
Atestar | Si el valor es verdadero, el dispositivo proporciona atestaciones que describen al servidor ACME el dispositivo y la clave generada. El servidor puede utilizar las atestaciones como prueba sólida de que la clave está vinculada al dispositivo y este tiene propiedades que figuran en la atestación. El servidor puede tenerlo en cuenta en una puntuación de confianza para decidir si emitir el certificado solicitado o no. Cuando el valor de Atestación es verdadero, HardwareBound también debe ser verdadero. | No | |||||||||
Nota: Cada proveedor de MDM implementa estos ajustes de forma diferente. Para ver cómo se aplican los diversos ajustes de Certificado ACME a tus dispositivos, consulta la documentación de tu proveedor de MDM.