Instellingen voor de payload 'Certificaten' voor Apple apparaten
Je kunt certificaaatinstellingen configureren op iPhones, iPads, Macs en Apple TV's die zijn ingeschreven bij een MDM-oplossing (Mobile Device Management). Met de payload 'Certificaten' kun je certificaten en een identiteit aan het apparaat toevoegen.
Besturingssysteem en niveau | Ondersteunde inschrijvingstypen | Interactie | Duplicaten |
|---|---|---|---|
iOS iPadOS tvOS macOS-apparaat macOS-gebruiker | Gebruiker Apparaat Apparaat (automatisch) | Gecombineerd | Meerdere |
Instelling | Beschrijving | Vereist |
|---|---|---|
Naam certificaat | De weergegeven naam van het certificaat. | Ja |
Certificaat- of identiteitsgegevens | iPhones, iPads, Macs en Apple TV's kunnen gebruikmaken van X.509-certificaten met RSA-sleutels. De volgende structuren en bestandsextensies worden herkend:
PKCS12-bestanden bevatten tevens de persoonlijke sleutel en één identiteit. Ter bescherming van de persoonlijke sleutel zijn PKCS12-bestanden versleuteld met een wachtzin. | Ja |
Wachtzin | Een wachtzin voor de beveiliging van de inloggegevens. | Nee |
Wanneer je een rootcertificaat installeert, kan het zijn dat je ook de intermediaire certificaten moet installeren die nodig zijn om een keten te vormen naar een vertrouwd certificaat op het apparaat. Dit kan van belang zijn voor technologieën als 802.1X. Zie de volgende Apple Support-artikelen voor een lijst met vooraf geïnstalleerde roots voor Apple apparaten:
Als het certificaat of de identiteit die je wilt installeren zich in de sleutelhanger bevindt, gebruik je Sleutelhangertoegang om het onderdeel met de .p12-structuur te exporteren. Sleutelhangertoegang kun je vinden in /Apps/Hulpprogramma's/. Raadpleeg de Gebruikershandleiding Sleutelhangertoegang.
Om een identiteit toe te voegen voor gebruik met Microsoft Exchange of Exchange ActiveSync, eenmalige aanmelding, VPN en netwerk of wifi, moet je die specifieke payload gebruiken.
Als je bij de implementatie van een PKCS12-bestand de wachtzin voor de certificaatidentiteit weglaat, wordt gebruikers tijdens de installatie van het profiel gevraagd de wachtzin in te voeren. De inhoud van de payload wordt onleesbaar gemaakt, maar niet versleuteld. Als je de wachtzin toevoegt, moet je erop letten dat het profiel alleen voor bevoegde gebruikers beschikbaar is.
In plaats van een certificaat te installeren met een configuratieprofiel, kun je gebruikers het certificaat ook met Safari naar hun apparaat laten downloaden vanaf een webpagina die dat certificaat gebruikt (plaats het certificaat niet op een host). Je kunt certificaten ook via e-mail naar gebruikers versturen. Bovendien kun je via SCEP-payloadinstellingen voor Apple apparaten (Simple Certificate Enrollment Protocol) opgeven hoe certificaten naar het apparaat worden overgebracht wanneer het profiel wordt geïnstalleerd.
Voorkomen dat certificaten handmatig worden vertrouwd
Als een certificaat automatisch via Profielbeheer met een payload wordt geïnstalleerd of met Apple Configurator 2 wordt geïnstalleerd, wordt het certificaat volledig vertrouwd. Als het certificaat handmatig wordt geïnstalleerd met een profiel dat tevens een inschrijvingspayload van Profielbeheer bevat, wordt het certificaat ook volledig vertrouwd. Je wordt aangeraden de certificaatpayload in het inschrijvingsprofiel voor MDM op te nemen, zodat het certificaat niet handmatig hoeft te worden vertrouwd.