Einstellungen der MDM-Payload „Automated Certificate Management Environment (ACME)“ für Apple-Geräte
Du kannst die Payload für ACME-Zertifikate konfigurieren, um Zertifikate von einer Zertifizierungsstelle (CA) für Apple-Geräte abzurufen, die in einer Lösung für die Mobilgeräteverwaltung (MDM) registriert sind. ACME ist eine moderne Alternative von SCEP. Dies ist ein Protokoll zum Anfordern und Installieren von Zertifikaten. Die Verwendung von ACME ist bei der Nutzung der verwalteten Gerätebeglaubigung erforderlich.
Die Payload „ACME-Zertifikate“ unterstützt Folgendes. Weitere Informationen findest du unter Payload-Informationen.
Nicht unterstützte Payload-ID: com.apple.security.acme
Unterstützte Betriebssysteme und Kanäle: iOS, iPadOS, Geteiltes iPad-Gerät, macOS-Gerät, macOS-Benutzer, tvOS, watchOS 10, visionOS 1.1.
Unterstützte Registrierungstypen: Benutzerregistrierung, Geräteregistrierung, Automatische Geräteregistrierung.
Duplikate erlaubt: Wahr – mehr als eine Payload „ACME-Zertifikat“ kann an einen Benutzer oder ein Gerät gesendet werden.
Du kannst die Einstellungen in der folgenden Tabelle mit der Payload „ACME-Zertifikat“ verwenden.
Einstellung | Beschreibung | Erforderlich | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Client-ID | Eine eindeutiger String, der ein bestimmtes Gerät identifiziert. Der Server kann dies als Anti-Replay-Wert verwenden, um das Ausstellen mehrerer Zertifikate zu verhindern. Darüber hinaus weist diese ID den ACME-Server darauf hin, dass das Gerät auf eine gültige Client-ID zugreifen kann, die von der Unternehmensinfrastruktur ausgestellt wurde. Dies kann dem ACME-Server helfen, die Vertrauenswürdigkeit des Geräts zu bestimmen. Dabei handelt es sich jedoch aufgrund des Risikos, dass ein Angreifer die Client-ID abfangen kann, um einen relativ schwachen Anhaltspunkt. | Ja | |||||||||
URL | Die Adresse des ACME-Servers, einschließlich https://. | Ja | |||||||||
Erweiterte Schlüsselverwendung | Der Wert ist ein Stringarray. Jeder String ist ein OID in Punktnotation. So bedeutet [„1.3.6.1.5.5.7.3.2“, „1.3.6.1.5.5.7.3.4“] zum Beispiel Client-Authentifizierung und E-Mail-Schutz. | Nein | |||||||||
HardwareBound | Durch das Hinzufügen dieser Einstellung wird der private Schlüssel an das Gerät gebunden. Die Secure Enclave generiert das Schlüsselpaar und der private Schlüssel wird kryptografisch mit einem Systemschlüssel verbunden. Dies hindert das System daran, den privaten Schlüssel zu exportieren. Wenn diese Einstellung hinzugefügt wird, muss „KeyType“ auf „ECSECPrimeRandom“ und „KeySize“ auf 256 oder 384 eingestellt sein. | Ja | |||||||||
Schlüsseltyp | Der Typ des zu erstellenden Schlüsselpaars:
| Ja | |||||||||
Schlüssellänge | Die gültigen Werte für „KeySize“ hängen von den eingestellten Werten für „KeyType“ und „HardwareBound“ ab. | Ja | |||||||||
Betreff | Das Gerät fordert diesen Betreff für das Zertifikat an, das der ACME-Server ausstellt. Der ACME-Server kann dieses Feld in dem ausgestellten Zertifikat übergehen oder ignorieren. Hierbei handelt es sich um die Darstellung eines X.500-Namens in Form eines Datenfelds aus OID und Wert. Beispielsweise /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar – die übersetzte Form sieht wie folgt aus: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | Nein | |||||||||
Typ des alternativen Namens des Inhabers | Dies ist der Typ eines Alternativnamens für den ACME-Server. Mögliche Typen sind „RFC 822 Name“, „DNS-Name“ und „Uniform Resource Identifier (URI)“. Er kann nur die Kennung „Uniform Resource Locator (URL)“, nur die Kennung „Uniform Resource Name“ oder beide Kennungen umfassen. | Nein | |||||||||
Nutzungsattribute | Dieser Wert ist ein Bitfeld Bit 0x01 verweist auf eine digitale Signatur. Bit 0x10 verweist auf eine Verschlüsselungsvereinbarung. Das Gerät fordert diesen Schlüssel für das Zertifikat an, das der ACME-Server ausstellt. Der ACME-Server kann dieses Feld in dem ausgestellten Zertifikat übergehen oder ignorieren. | Nein | |||||||||
Attest | Wenn „Wahr“, stellt das Gerät dem ACME-Server Beglaubigungen bereit, die das Gerät beschreiben, sowie den generierten Schlüssel. Der Server kann die Beglaubigungen als zuverlässigen Nachweis nutzen, dass der Schlüssel an das Gerät gebunden ist und dass das Gerät über die beglaubigten Eigenschaften verfügt. Der Server kann dies als Teil eines Vertrauenswertes verwenden, um zu entscheiden, ob das angeforderte Zertifikat ausgegeben werden soll. Wenn die Beglaubigung wahr ist, muss „HardwareBound“ ebenfalls wahr sein. | Nein | |||||||||
Hinweis: Jeder MDM-Anbieter implementiert diese Einstellungen auf unterschiedliche Weise. In der Herstellerdokumentation zur jeweiligen MDM-Lösung wird beschrieben, wie verschiedene Einstellungen für ACME-Zertifikate auf Geräte angewendet werden.