Configuración de la carga útil de MDM Entorno de administración de certificados automatizado (ACME) para dispositivos Apple
Puedes establecer la configuración de la carga útil Certificado ACME para obtener certificados de una autoridad de certificación (CA) para dispositivos Apple inscritos en una solución de administración de dispositivos móviles (MDM). ACME es una alternativa moderna a SCEP. Se trata de un protocolo para solicitar e instalar certificados. El uso de ACME es necesario cuando se utiliza la certificación para dispositivos administrados.
La carga útil Certificado ACME es compatible con las siguientes funciones; para obtener más información, consulta Información de la carga útil.
Identificador de carga útil compatible: com.apple.security.acme
Sistemas operativos y canales compatibles: iOS, iPadOS, dispositivo iPad compartido, dispositivo macOS, usuario de macOS, tvOS, watchOS 10, visionOS 1.1.
Tipos de inscripción compatibles: perfil Inscripción de usuarios, perfil Inscripción de dispositivos y perfil Inscripción de dispositivos automatizada.
Duplicados permitidos: verdadero; se pueden enviar varias cargas útiles Certificado ACME a un dispositivo.
Puedes usar las configuraciones de la siguiente tabla con la carga útil Certificado ACME.
Configuración | Descripción | Necesario | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Identificador de cliente | Un cadena única que identifica un dispositivo específico. El servidor puede utilizarlo como un valor antirrepetición con el fin de evitar la emisión de varios certificados. Este identificador también indica al servidor ACME que el dispositivo tiene acceso a un identificador de cliente válido emitido por la infraestructura de la empresa, lo cual puede ayudar al servidor ACME a determinar si debe confiar en el dispositivo. Sin embargo, se trata de una indicación relativamente débil debido al riesgo de que un atacante pueda interceptar el identificador de cliente. | Sí | |||||||||
URL | La dirección del servidor ACME, con https://. | Sí | |||||||||
Uso de clave ampliada | El valor es una matriz de cadenas. Cada cadena es un OID en notación de puntos; por ejemplo, [”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] indica la autenticación del cliente y la protección del correo electrónico. | No | |||||||||
HardwareBound | Si se agrega, la clave privada se vincula al dispositivo. El Secure Enclave genera el par de claves, y la clave privada se entrelaza criptográficamente con una clave del sistema, lo cual impide que el sistema exporte la clave privada. Si se agrega, la clave KeyType debe ser ECSECPrimeRandom y la clave KeySize debe ser 256 o 384. | Sí | |||||||||
Tipo de clave | El tipo de par de claves a generar:
| Sí | |||||||||
Tamaño de la clave | Los valores válidos para la clave KeySize dependen de los valores de las claves KeyType y HardwareBound. | Sí | |||||||||
Asunto | El dispositivo solicita este asunto para el certificado que emite el servidor ACME. El servidor ACME puede anular o ignorar este campo en el certificado que emita. La representación de un nombre X.500 representada como una matriz de OID y valor. Por ejemplo, /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, que se traduce en: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | No | |||||||||
Tipo de nombre alternativo del sujeto | Especifica el tipo de un nombre alternativo para el servidor ACME. Los tipos son Nombre RFC 822, Nombre DNS, e Identificador de recursos uniforme (URI). Este puede ser el localizador de recursos uniforme (URL), el nombre de recurso uniforme (URN), o ambos. | No | |||||||||
Indicadores de uso | Este valor es un campo de bits. Bit 0x01 indica una firma digital. Bit 0x10 indica la aceptación de la clave. El dispositivo solicita esta clave para el certificado que emite el servidor ACME. El servidor ACME puede anular o ignorar este campo en el certificado que emita. | No | |||||||||
Certificar | Si es verdadero, el dispositivo proporciona certificaciones que describen el dispositivo y la clave generada al servidor ACME. El servidor puede usar las certificaciones como prueba contundente de que la clave está ligada al dispositivo, y de que este tiene las propiedades indicadas en la certificación. Además, el servidor puede usar las certificaciones como parte de una puntuación de confianza para decidir si emite o no el certificado solicitado. Cuando Certificar devuelve un valor verdadero, HardwareBound también debe tener el valor verdadero. | No |
Nota: cada proveedor de soluciones de MDM implementa esta configuración de manera diferente. Para obtener información sobre cómo aplicar a tus dispositivos las diferentes opciones de la configuración Certificado ACME, consulta la documentación de tu proveedor de MDM.