Distribuce certifikátů do zařízení Apple
Certifikáty můžete do iPhonu, iPadu a zařízení Apple Vision Pro distribuovat ručně. Když uživatel certifikát obdrží, může klepnutím zobrazit jeho obsah a dalším klepnutím jej přidat do svého zařízení. Při instalaci certifikátu identity jsou uživatelé vyzváni k zadání hesla, jímž je chráněn. Pokud nelze ověřit pravost certifikátu, zobrazí se jako nedůvěryhodný a uživatel se pak může rozhodnout, zda jej do zařízení přidá.
Certifikáty můžete do počítačů Mac distribuovat ručně. Když uživatel obdrží certifikát, může ho dvojím kliknutím otevřít v Klíčence a zkontrolovat jeho obsah. Pokud obsah certifikátu odpovídá očekávání, může uživatel vybrat požadovaný svazek klíčů a kliknout na tlačítko Přidat. Většinu uživatelských certifikátů je třeba nainstalovat do přihlašovacího svazku klíčů. Při instalaci certifikátu identity jsou uživatelé vyzváni k zadání hesla, jímž je chráněn. Pokud nelze ověřit pravost certifikátu, zobrazí se jako nedůvěryhodný a uživatel se pak může rozhodnout, zda jej do svého Macu přidá.
Některé certifikační identity lze na počítačích Mac automaticky obnovit.
Metody nasazení certifikátů pomocí datových částí MDM
V následující tabulce jsou uvedeny různé datové části pro nasazení certifikátů pomocí konfiguračních profilů. Jmenovitě datové části Active Directory Certificate, Certificate, (pro certifikát identity PKCS #12), Automated Certificate Management Environment (ACME) a Simple Certificate Enrollment Protocol (SCEP).
Datová část | Podporované operační systémy a kanály | Popis | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Active Directory Certificate payload | macOS zařízení Uživatel systému macOS | Při nakonfigurování datové části Active Directory Certificate systém macOS předloží požadavek na podepsání certifikátu prostřednictvím dálkového volání procedur přímo vydávající certifikační autoritě (CA) serveru certifikačních služeb Active Directory. Identity počítače můžete zaregistrovat s použitím pověřovacích údajů objektu odpovídajícího danému Macu ve službě Active Directory. V procesu registrace si mohou uživatelé zadáním svých přístupových údajů opatřit individuální identitu. Prostřednictvím této datové části mají správci zpětnou kontrolu nad používáním soukromého klíče a šablonu certifikátu pro registraci. Stejně jako u zápisu SCEP zůstává soukromý klíč na zařízení. | |||||||||
ACME payload | iOS iPadOS Zařízení Sdílený iPad macOS zařízení Uživatel systému macOS tvOS watchOS 10 visionOS 1.1 | Zařízení Apple zaregistrovaná ve službě MDM můžou certifikáty získat od CA. Tato technika umožňuje ponechat soukromý klíč jen na zařízení a případně je ho možné se zařízením hardwarově svázat. | |||||||||
Certificates payload (pro certifikát identity PKCS #12) | iOS iPadOS Zařízení Sdílený iPad macOS zařízení Uživatel systému macOS tvOS watchOS 10 visionOS 1.1 | Při přenášení identity mimo zařízení ve jménu uživatele nebo zařízení lze identitu vložit do souboru PKCS #12 (.p12 nebo .pfx) chráněného heslem. Pokud je v datové části obsaženo heslo, uživatel může identitu nainstalovat, aniž by je musel zadávat. | |||||||||
Datová část SCEP | iOS iPadOS Zařízení Sdílený iPad macOS zařízení Uživatel systému macOS tvOS watchOS 10 visionOS 1.1 | Zařízení předloží požadavek na podepsání certifikátu přímo registračnímu serveru. Tato technika umožňuje ponechat soukromý klíč jen na zařízení. | |||||||||
Chcete‑li přidružit služby ke konkrétní identitě, nakonfigurujte datovou část protokolu ACME, SCEP nebo certifikátu a potom nastavte požadovanou službu ve stejném konfiguračním profilu. Takto lze například nakonfigurovat datovou část SCEP poskytující zařízení identitu a ve stejném konfiguračním profilu nastavit datovou část Wi‑Fi pro protokol WPA2 Enterprise / EAP-TLS s ověřením pomocí certifikátu zařízení získaného při registraci SCEP.
Chcete‑li přidružit služby ke konkrétní identitě v macOS, nakonfigurujte datovou část Active Directory Certificate, ACME, SCEP nebo certifikátu a potom nastavte v témže konfiguračním profilu požadovanou službu. Takto lze například nakonfigurovat datovou část Active Directory Certificate poskytující zařízení identitu a ve stejném konfiguračním profilu nastavit datovou část Wi‑Fi pro protokol WPA2 Enterprise / EAP-TLS s použitím certifikátu zařízení. Výsledkem je registrace datové části Active Directory Certificate k ověřování.
Obnovení certifikátů nainstalovaných pomocí konfiguračních profilů
Certifikáty nasazené pomocí služby MDM by měly být v zájmu zajištění trvalého přístupu k službám před vypršením platnosti obnoveny. Za tímto účelem můžou služby MDM vyhledat nainstalované certifikáty, zkontrolovat datum vypršení platnosti a vydat nový profil nebo konfiguraci s předstihem.
U certifikátů služby Active Directory, pokud jsou certifikační identity nasazeny jako součást profilu zařízení, je výchozím chováním automatické obnovení v systému macOS 13 nebo novějším. Správci můžou nastavit systémovou předvolbu, která toto chování změní. Další informace najdete v článku podpory Apple Automatická obnova certifikátů získaných prostřednictvím konfiguračního profilu.
Instalace certifikátů prostřednictvím Mailu a Safari
Certifikát můžete poslat jako přílohu poštovní zprávy nebo umístit na zabezpečené hostitelské webové stránce, odkud si jej uživatelé stáhnou do svých zařízení Apple.
Odstraňování a odvolávání certifikátů
V prostředí MDM lze zobrazit všechny certifikáty na zařízení a odstranit libovolný certifikát, který byl z tohoto prostředí nainstalován.
Kromě toho je podporován protokol OCSP (Online Certificate Status Protocol) umožňující zkontrolovat stav certifikátů. Při použití certifikátu s podporou OCSP systémy iOS, iPadOS, macOS a visionOS pravidelně ověřují, zda nebyl certifikát odvolán.
Chcete‑li odvolat certifikáty pomocí konfiguračního profilu, přečtěte si téma Položky nastavení MDM v datové části Certificate Revocation.
Chcete‑li v systému iOS, iPadOS či visionOS 1.1 nebo novějším ručně odstranit nainstalovaný certifikát, přejděte do Nastavení > Obecné > Správa zařízení, vyberte profil, klepněte na Podrobnosti a pak na certifikát, který chcete odstranit. Pokud odstraníte certifikát potřebný pro přístup k účtu nebo síti, iPhone, iPad nebo Apple Vision Pro ztratí možnost připojení k těmto službám.
Chcete-li v systému macOS ručně odebrat nainstalovaný certifikát, spusťte aplikaci Klíčenka a vyhledejte požadovaný certifikát. Vyberte jej a poté jej odstraňte ze svazku klíčů. Pokud odstraníte certifikát potřebný pro přístup k účtu nebo síti, Mac ztratí možnost připojení k těmto službám.