Položky nastavení správy zařízení v datové části Certificates pro zařízení Apple
Pro uživatele zařízení Apple zaregistrovaných ve službě správy zařízení můžete nastavit konfiguraci certifikátů. Prostřednictvím datových částí Certificates můžete do zařízení přidat certifikáty a identitu.
Datové části Certificates podporují níže uvedené položky. Další informace najdete v části Informace o datových částech.
Podporované identifikátory datové části: com.apple.security.pem, com.apple.security.pem1, com.apple.security.pem12, com.apple.security.root
Podporované operační systémy a kanály: Systémy iOS, iPadOS, sdílený iPad (zařízení), macOS zařízení, uživatel systému macOS, systémy tvOS, watchOS 10, visionOS 1.1
Podporované metody registrace: registrace uživatelů, registrace zařízení, automatická registrace zařízení.
Povolení duplikátů: Ano – jeden uživatel nebo zařízení může obdržet více datových částí Certificates.
V datových částech Certificates lze použít položky nastavení uvedené v následující tabulce.
Nastavení | Popis | Povinná | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Certificate name | Zobrazovaný název certifikátu. | Ano | |||||||||
Certificate or identity data | iPhony, iPady, počítače Mac a Apple TV můžou používat certifikáty X.509 s RSA klíči. Formáty a rozpoznávané přípony souborů jsou následující:
Soubory PKCS #12 zahrnují také soukromý klíč a obsahují právě jednu identitu. Kvůli zajištění ochrany soukromého klíče jsou soubory PKCS #12 zašifrovány s použitím přístupového hesla. | Ano | |||||||||
Passphrase | Přístupové heslo používané k zabezpečení přihlašovacích údajů. | Ne | |||||||||
Poznámka: Implementace těchto voleb se u různých vývojářů služeb správy zařízení liší. Informace o tom, jak se různé položky nastavení v datové části Certificate uplatní u vašich zařízení a uživatelů, najdete v dokumentaci od vývojáře služby správy zařízení.
When adding a certificate or identity
Pokud nainstalujete kořenový certifikát, můžete také nainstalovat zprostředkující certifikáty pro vytvoření řetězce pro některý důvěryhodný certifikát na zařízení. To může být důležité pro technologie jako 802.1X. Seznam předinstalovaných kořenových certifikátů pro zařízení Apple a další informace najdete v článku podpory Apple: Seznam dostupných důvěryhodných kořenových certifikátů v iOS 18, iPadOS 18, macOS 15, tvOS 18, visionOS 2 a watchOS 11.
Když se certifikát nebo identita, které chcete nainstalovat, nacházejí ve vašem svazku klíčů, vyexportujte je v Klíčence ve formátu PKCS #12 (.p12). Klíčenku najdete ve složce /Aplikace/Utility/. Další informace najdete v Uživatelské příručce pro aplikaci Klíčenka.
Chcete‑li přidat identitu určenou pro Microsoft Exchange nebo Exchange ActiveSync, jednotné přihlášení, VPN, síť nebo Wi‑Fi, použijte příslušnou datovou část.
Pokud při nasazení souboru PKCS #12 (.p12 nebo .pfx) vynecháte přístupové heslo pro identitu certifikátu, budou uživatelé k jeho zadání vyzváni při instalaci profilu. Obsah datové části je skrytý ale ne zašifrovaný. Když přidáte přístupové heslo, mějte na paměti, že profil bude dostupný jen autorizovaným uživatelům.
Namísto instalace certifikátů pomocí konfiguračního profilu můžete uživatelům umožnit stahování certifikátů v Safari do jejich zařízení z webové stránky, na níž je tento certifikát použit (neměli byste být hostitelem tohoto certifikátu). Certifikáty můžete uživatelům posílat také v mailových zprávách. Způsob, jakým má zařízení při instalaci profilu certifikáty získávat, můžete určit též pomocí nastavení správy zařízení v datové části SCEP (Simple Certificate Enrollment Protocol).
Důvěryhodnost certifikátů
Certifikátu bude udělena plná důvěra, pokud pro něj platí, že:
Je nainstalován instancí Apple Configuratoru, která má stejnou dohledovou identitu jako dané zařízení
Byl nainstalován automaticky z podporované služby správy zařízení
Byl nainstalován ručně pomocí datové části připojené k registračnímu profilu z podporované služby správy zařízení
V rámci doporučených postupů není žádoucí nechávat uživatele instalovat certifikáty ručně. Místo toho přidejte do registračního profilu správy zařízení datovou část Certificates, takže důvěryhodnost certifikátů nebude třeba manuálně potvrzovat.