Automated Certificate Management Environmentin (ACME) MDM-tietosisältöasetukset Apple-laitteille
Voit määrittää mobiililaitteiden hallintaratkaisuun (MDM) rekisteröidyille Apple-laitteille ACME-varmenteen tietosisällön varmenteiden saamiseksi varmentajalta (CA). ACME on nykyaikainen vaihtoehto SCEP:lle. Se on protokolla varmenteiden pyytämistä ja asentamista varten. ACME:n käyttöä vaaditaan käytettäessä hallitun laitteen todennusta.
ACME-varmenne-tietosisältö tukee seuraavia. Jos haluat lisätietoja, katso Tietosisällön tiedot.
Tuetun tietosisällön tunniste: com.apple.security.acme
Tuetut käyttöjärjestelmät ja kanavat: iOS, iPadOS, jaettu iPad -laite, macOS-laite, macOS-käyttäjä, tvOS, watchOS 10, visionOS 1.1.
Tuetut rekisteröintityypit: käyttäjärekisteröinti, laiterekisteröinti, automaattinen laiterekisteröinti.
Kaksoiskappaleet sallittu: Tosi – laitteelle voidaan toimittaa enemmän kuin yksi ACME-varmenne-tietosisältö.
Voit käyttää ACME-varmenne-tietosisällön kanssa alla olevan taulukon asetuksia.
Asetus | Kuvaus | Vaaditaan | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Client identifier | Tietyn laitteen tunnisteena toimiva yksilöllinen merkkijono. Palvelin voi käyttää tätä toiston estävänä arvona, jolla estetään useiden varmenteiden antaminen. Tämä tunniste myös kertoo ACME-palvelimelle, että laitteella on käytössään kelvollinen asiakkaan tunniste, joka on saatu yritysinfrastruktuurilta. Tämä voi auttaa ACME-palvelinta ratkaisemaan, luottaako se laitteeseen. Tämä tosin on suhteellisen heikko osoitus, koska on olemassa vaara, että hyökkääjä onnistuu sieppaamaan asiakkaan tunnisteen. | Kyllä | |||||||||
URL | ACME-palvelimen osoite, johon sisältyy https://. | Kyllä | |||||||||
Extended Key Usage | Arvo on merkkijonojen rivi. Kukin merkkijono on pistedesimaalimuodossa oleva objektitunniste. Esimerkiksi [”1.3.6.1.5.5.7.3.2”, ”1.3.6.1.5.5.7.3.4”] merkitsee asiakkaan todennusta ja sähköpostin suojausta. | Ei | |||||||||
HardwareBound | Jos tämä lisätään, yksityinen avain sidotaan laitteeseen. Secure Enclave muodostaa avainparin, ja yksityinen avain kiedotaan kryptografisesti järjestelmän avaimen. Tämä estää järjestelmää viemästä yksityistä avainta. Jos tämä lisätään, KeyType täytyy olla ECSECPrimeRandom ja KeySize täytyy olla 256 tai 384.) | Kyllä | |||||||||
Key type | Muodostettavan avainparin tyyppi:
| Kyllä | |||||||||
Key size | Kelvolliset arvot asetukselle KeySize riippuvat asetusten KeyType ja HardwareBound arvoista. | Kyllä | |||||||||
Subject | Laite pyytää tätä aihetta varmenteelle, jonka ACME-palvelin antaa. ACME-palvelin voi ohittaa tai jättää huomiotta tämän kentän antamassaan varmenteessa. X.500:n nimen esitys OID:n ja arvon sarjana. Esimerkki: /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, joka kääntyy seuraavasti: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | Ei | |||||||||
Subject Alternative Name Type | Määritä ACME-palvelimen vaihtoehtoisen nimen tyyppi. Mahdollisia tyyppejä ovat RFC 822 ‑nimi, DNS-nimi ja yhtenäinen resurssitunniste (URI). Jälkimmäinen voi olla yhtenäinen resurssipaikannin (URL), yhtenäinen resurssinimi (URN) tai molemmat. | Ei | |||||||||
Usage Flags | Tämä arvo on bittikenttä. Bitti 0x01 tarkoittaa digitaalista allekirjoitusta. Bitti 0x10 tarkoittaa avaimesta sopimista. Laite pyytää tätä avainta varmenteelle, jonka ACME-palvelin antaa. ACME-palvelin voi ohittaa tai jättää huomiotta tämän kentän antamassaan varmenteessa. | Ei | |||||||||
Attest | Jos tämä on tosi, laite antaa ACME-palvelimelle todennuksen, jossa kuvataan laite ja muodostettu avain. Palvelin voi käyttää todennuksia vahvana todisteena siitä, että avain on sidottu kyseiseen laitteeseen ja että laitteella on todennuksessa luetellut ominaisuudet. Palvelin voi käyttää sitä osana luottamuslukua, jonka perusteella se ratkaisee, myönnetäänkö pyydetty varmenne. Kun Attest on tosi, myös HardwareBound täytyy olla tosi. | Ei | |||||||||
Huomaa: Kukin MDM-toimittaja toteuttaa näitä asetuksia omalla tavallaan. Jos haluat tietää, miten ACME-varmenne-asetuksia käytetään laitteillesi, tutustu MDM-toimittajasi dokumentaatioon.