MDM-indstillinger til data i ACME (Automated Certificate Management Environment) for Apple-enheder
Du kan konfigurere dataene for ACME-certifikat, så det er muligt at hente certifikater fra en certifikatmyndighed (CA), til Apple-enheder, der er tilmeldt en løsning til administration af mobile enheder (MDM). ACME er et moderne alternativ til SCEP. Det er en protokol til at anmode om og installere certifikater. Brug af ACME kræves ved brug af Managed Device Attestation.
Dataene i ACME Certificate understøtter følgende. Du kan få flere oplysninger i Dataoplysninger.
Understøttet data-id: com.apple.security.acme
Understøttede operativsystemer og kanaler: iOS, iPadOS, Delt iPad-enhed, macOS-enhed, macOS-bruger, tvOS, watchOS 10, visionOS 1.1.
Understøttede tilmeldingstyper: Brugertilmelding, enhedstilmelding, automatisk enhedstilmelding.
Dubletter tilladt: Sand – der kan leveres mere end ét hold data i ACME Certificate til en enhed.
Du kan bruge indstillingerne i nedenstående tabel med dataene i ACME Certificate.
Indstilling | Beskrivelse | Obligatorisk | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Klient-id | En entydig streng, der identificerer en bestemt enhed. Serveren kan bruge den som en værdi, der modvirker automatisk afspilning, for at forhindre, at der udstedes flere certifikater. Dette id indikerer også over for ACME-serveren, at enheden har adgang til et gyldigt klient-id udstedet af virksomhedens infrastruktur. Dette kan hjælpe ACME-serveren med at fastslå, om enheden kan godkendes. Der er dog tale om en relativt svag indikation på grund af risikoen for, at en person med ondsindede hensigter kan opsnappe klient-id'et. | Ja | |||||||||
URL-adresse | Adressen på ACME-serveren, inklusive https://. | Ja | |||||||||
Brug af udvidet nøgle | Værdien er en række strenge. Hver streng er et OID i stiplet format. For eksempel angiver [”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] klientgodkendelse og e-mailbeskyttelse. | Nej | |||||||||
HardwareBound | Hvis der tilføjes en privat nøgle, er den knyttet til enheden. Secure Enclave genererer nøgleparret, og den private nøgle er kryptografisk kombineret med en systemnøgle. Dette forhindrer systemet i at eksportere den private nøgle. Hvis det tilføjes, skal KeyType være ECSECPrimeRandom, og KeySize skal være 256 eller 384.) | Ja | |||||||||
Nøgletype | Den type nøglepar, der skal genereres:
| Ja | |||||||||
Størrelse på nøgle | De gyldige værdier for KeySize afhænger af værdierne for KeyType og HardwareBound. | Ja | |||||||||
Emne | Enheden anmoder om dette emne for det certifikat, som ACME-serveren udsteder. ACME-serveren kan tilsidesætte eller ignorere dette felt i det certifikat, den udsteder. Et X.500-navn repræsenteret som en kombination af OID og værdi. Eksempel: /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, som fortolkes som: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | Nej | |||||||||
Type alternativt navn på subjekt | Angiv typen af det alternative navn på ACME-serveren. Der er følgende typer: RFC 822-navn, DNS-navn og URI (Uniform Resource Identifier). Det kan være URL (Uniform Resource Locator), URN (Uniform Resource Name) eller begge. | Nej | |||||||||
Brug af flag | Denne værdi er et bitfelt. Bit 0x01 angiver digital signatur. Bit 0x10 angiver nøgleaftale. Enheden anmoder om denne nøgle for det certifikat, som ACME-serveren udsteder. ACME-serveren kan tilsidesætte eller ignorere dette felt i det certifikat, den udsteder. | Nej | |||||||||
Attest | Hvis sand, udsteder enheden attestationer, der beskriver enheden og den genererede nøgle for ACME-serveren. Serveren kan bruge attestationerne som et stærkt bevis på, at nøglen er knyttet enheden, og at enheden har de egenskaber, der er nævnt i attestationen. Serveren kan bruge det som en del af en tillidsscore, der afgør, om det ønskede certifikat skal udstedes. Når Attest er sand, skal HardwareBound også være sand. | Nej |
Bemærk: De enkelte MDM-leverandører implementerer disse indstillinger forskelligt. Du kan se, hvordan indstillingerne for ACME-certifikat anvendes til dine enheder, i dokumentationen fra din MDM-leverandør.