Impostazioni MDM del payload per l’ambiente di gestione automatizzata dei certificati (ACME) per i dispositivi Apple
Puoi configurare il payload “Certificato ACME” per ottenere certificati da un’autorità di certificazione (CA) per i dispositivi Apple registrati a una soluzione di gestione dei dispositivi mobili (MDM). ACME è un’alternativa moderna a SCEP. È un protocollo per la richiesta e l’installazione di certificati. L’uso di ACME è necessario quando si utilizza l’attestazione dei dispositivi gestiti.
Il payload “Certificato ACME” supporta quanto segue. Per ulteriori informazioni, consulta Informazioni payload.
Identificatore payload supportato: com.apple.security.acme
Sistemi operativi supportati e canali: iOS, iPadOS, iPad condiviso, dispositivo macOS, utente macOS, tvOS, watchOS 10, visionOS 1.1.
Tipi di registrazione supportati: registrazione utente, registrazione dispositivo, registrazione automatica del dispositivo.
Duplicati consentiti: vero: è possibile fornire più di un payload “Certificato ACME” a un dispositivo.
Puoi utilizzare le impostazioni nella tabella di seguito con il payload “Certificato ACME”.
Impostazione | Descrizione | Richiesta | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Identificativo client | Una stringa unica che identifica un dispositivo specifico. Il server può utilizzarla come valore anti-riproduzione per evitare l’emissione di più certificati. Questo identificativo indica al server ACME che il dispositivo ha accesso a un identificativo del client valido emesso dall’infrastruttura aziendale. Questo può aiutare il server ACME a determinare se autorizzare il dispositivo. Tuttavia, si tratta di un’indicazione relativamente inaffidabile, poiché sussiste il rischio che un utente malintenzionato possa intercettare l’identificativo del client. | Sì | |||||||||
URL | L’indirizzo del server ACME, incluso https://. | Sì | |||||||||
Uso chiave esteso | Il valore è un array di stringhe. Ogni stringa è un OID in notazione decimale. Ad esempio, [”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] indica l’autenticazione dei client e la protezione email. | No | |||||||||
HardwareBound | Se aggiunta, la chiave privata è vincolata al dispositivo. Secure Enclave genera la coppia di chiavi e la chiave privata è crittograficamente legata a una chiave di sistema. In questo modo, il sistema non può a esportare la chiave privata. Se aggiunto, KeyType deve essere impostato su ECSECPrimeRandom e KeySize deve essere impostato su 256 o 384. | Sì | |||||||||
Tipo di chiave | Il tipo di chiave per generare:
| Sì | |||||||||
Dimensione chiave | I valori validi per KeySize dipendono dai valori di KeyType e HardwareBound. | Sì | |||||||||
Soggetto | Il dispositivo richiede questo soggetto per il certificato che emette il server ACME. Il server ACME può sovrascrivere o ignorare questo campo nel certificato che emette. La rappresentazione di un nome X.500 rappresentato come una matrice di OID e valore. Ad esempio, /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, che si traduce in: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | No | |||||||||
Tipo nome alternativo soggetto | Specifica il tipo di un nome alternativo per il server ACME. Tipi sono “Nome RFC 822”, “Nome DNS” e URI (Uniform Resource Idenitifier). Può trattarsi di URL (Uniform Resource Locator), URN (Uniform Resource Name) o entrambi. | No | |||||||||
Contrassegni utilizzo | Il valore è un campo di bit. 0x01 bit indica la firma digitale. 0x10 bit indica la disposizione chiave. Il dispositivo richiede questa chiave per il certificato che emette il server ACME. Il server ACME può sovrascrivere o ignorare questo campo nel certificato che emette. | No | |||||||||
Attesa | Se la condizione è vera, il dispositivo fornisce attestati che descrivono il dispositivo e la chiave generata al server ACME. Il server può utilizzare le attestazioni come prova inconfutabile che la chiave è legata al dispositivo e che il dispositivo possiede le proprietà elencate nell’attestazione. Il server può utilizzarlo come parte di un punteggio di affidabilità per decidere se emettere o meno il certificato richiesto. Quando la condizione Attest è vera, anche la condizione HardwareBound deve essere vera. | No | |||||||||
Nota: ogni fornitore MDM implementa queste impostazioni in modo diverso. Per sapere come le diverse impostazioni “Certificato ACME” vengono applicate ai tuoi dispositivi, consulta la documentazione del fornitore MDM.