Impostazioni del payload Certificati per i dispositivi Apple
Puoi configurare le impostazioni di Certificati su dispositivi iPhone, iPad, Mac e Apple TV registrati a una soluzione di gestione dei dispositivi mobili (MDM). Utilizza il payload Certificati per aggiungere certificati e un’identità al dispositivo.
Sistema operativo e canale | Tipi di registrazione supportati | Interazione | Duplicati |
|---|---|---|---|
iOS iPadOS tvOS Dispositivo macOS Utente macOS | Utente Dispositivo Dispositivo automatizzato | Combinato | Multiplo |
Impostazione | Descrizione | Richiesta |
|---|---|---|
Nome certificato | Il nome visualizzato per il certificato. | Sì |
Dati identità o certificato | I dispositivi iPhone, iPad, Mac e Apple TV possono usare certificati X.509 con chiavi RSA. I formati e le estensioni file riconosciuti sono:
I file PKCS12 includono anche la chiave privata e contengono esattamente un'identità. Per garantire la protezione della chiave privata, i file PKCS12 sono codificati con una frase chiave. | Sì |
Frase chiave | Una frase chiave usata per proteggere le credenziali. | No |
Quando installi un certificato root, puoi anche installare i certificati intermedi per stabilire una catena di un certificato attendibile su quel dispositivo. Potrebbe essere importante per tecnologie come ad esempio 802.1X. Per visualizzare un elenco dei root preinstallati per i dispositivi Apple, consulta gli articoli del supporto di Apple:
Se il certificato o l'identità che desideri installare è nel portachiavi, utilizza Accesso Portachiavi per esportarlo informato .p12. Accesso Portachiavi si trova in /Applicazioni/Utility/. Consulta il Manuale utente di Accesso Portachiavi.
Per aggiungere un'identità per l'utilizzo con Microsoft Exchange o Exchange ActiveSync, Single Sign-On, VPN e rete o Wi-Fi, utilizza l'apposito payload.
Quando distribuisci un file PKCS12, se ometti la frase chiave dell'identità del certificato, all'utente viene richiesto di inserirla quando viene installato il profilo. Il contenuto del payload è offuscato, ma non codificato. Se includi la frase chiave, assicurati che il profilo sia disponibile solo per gli utenti autorizzati.
Invece di installare i certificati utilizzando un profilo di configurazione, puoi consentire agli utenti di usare Safari per scaricare i certificati sui loro dispositivi da una pagina web che utilizza tale certificato (si sconsiglia di archiviare il certificato online). In alternativa, puoi inviare i certificati agli utenti in un messaggio e-mail. Puoi anche utilizzare le impostazioni payload SCEP (Simple Certificate Enrollment Protocol) per i dispositivi Apple per specificare il modo in cui il dispositivo deve ottenere i certificati quando il profilo viene installato.
Evitare di autorizzare certificati manualmente
Se un certificato viene installato automaticamente da un payload di Gestore profilo o installato utilizzando Apple Configurator 2, il certificato è completamente attendibile. Se il certificato viene installato manualmente da un profilo che contiene anche un payload di registrazione a “Gestione profili”, il certificato è completamente attendibile. Come pratica ottimale, il payload del certificato dovrebbe essere nel profilo di registrazione MDM per rimuovere il passo di autorizzazione manuale del certificato.