Ajustes do payload de gerenciamento de dispositivos de SCEP em dispositivos Apple
Você pode configurar os ajustes de SCEP para obter certificados de uma autoridade de certificação (AC) para dispositivos Apple registrados em um serviço de gerenciamento de dispositivos. Use o payload SCEP para especificar os ajustes que permitem que o dispositivo use o protocolo SCEP (Simple Certificate Enrollment Protocol) para obter certificados de uma autoridade de certificação (AC).
O payload SCEP é compatível com os itens a seguir. Para obter mais informações, consulte Informações do payload. Para ver uma lista de variáveis de SCEP, consulte Ajustes de variáveis para payloads de gerenciamento de dispositivos em dispositivos Apple.
Identificador de payload compatível: com.apple.security.scep
Sistemas operacionais compatíveis e canais: iOS, iPadOS, dispositivo iPad Compartilhado, dispositivo com macOS, usuário de macOS, tvOS, watchOS 10, visionOS 1.1.
Métodos de registro compatíveis: Registro de Usuário, Registro de Dispositivo, Registro de Dispositivo Automatizado.
Duplicatas permitidas: Verdadeiro — mais de um payload de SCEP pode ser entregue a um usuário ou dispositivo.
Você pode usar os ajustes da tabela abaixo com o payload SCEP.
Ajuste | Descrição | Obrigatório | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
URL | O endereço do servidor SCEP. | Sim | |||||||||
Nome | Qualquer string entendida pela autoridade de certificação. Pode ser usada para distinguir instâncias. | Não | |||||||||
Assunto | A representação de um nome X.500 com uma matriz de OID e valor. Por exemplo, /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, que significa: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | Não | |||||||||
Tipo de Nome Alternativo de Sujeito | Especifica o tipo de um nome alternativo para o servidor SCEP. Os tipos são Nome RFC 822, Nome do DNS e URI (Uniform Resource Identifier). Pode ser URL, URN ou ambos. | Não | |||||||||
Valor do Nome Alternativo de Sujeito | O valor do nome alternativo de sujeito. | Não | |||||||||
Nome Principal NT | O nome principal a ser usado na solicitação do certificado (opcional). | Não | |||||||||
Novas tentativas | O número de sondagens ao servidor SCEP por um certificado assinado antes da desistência. | Não | |||||||||
Atraso para Nova Tentativa | Quantidade de segundos a esperar entre as tentativas de sondagem. | Não | |||||||||
Desafio | O segredo pré-compartilhado que o servidor SCEP usa para identificar a solicitação ou o usuário. | Não | |||||||||
Certificate expiration notification threshold (macOS) | O número de dias antes de o certificado começar a mostrar uma notificação de expiração. | Não | |||||||||
Key size | Selecione um tamanho de chave (em bits) e, usando as opções abaixo deste campo, escolha os usos aceitáveis da chave. As opções são 1024, 2048 e 4096. | Não | |||||||||
Key usage | Selecione para usar a chave para o seguinte:
| Não | |||||||||
Impressão digital | Se a sua AC usa HTTP, use este campo para fornecer a impressão digital do certificado da AC, que o dispositivo usa para confirmar a autenticidade da resposta da AC durante a inscrição. É possível inserir uma impressão digital SHA1 ou MD5, ou selecionar um certificado para importar sua assinatura. | Não | |||||||||
Allow export from the Keychain (macOS) | Permita que a chave privada seja exportada das Chaves. | Não | |||||||||
Allow access to all apps (macOS) | Permita que todos os apps acessem o certificado nas chaves. Nota: essa chave precisa ser usada no macOS para permitir que um agente de VPN de terceiros use um certificado para autenticação. O payload do certificado precisa estar no mesmo perfil que o payload do ACME ou SCEP. | Não | |||||||||
Nota: cada desenvolvedor de serviço de gerenciamento de dispositivos implementa estes ajustes de maneira diferente. Para saber como os ajustes de SCEP são aplicados a dispositivos e usuários, consulte a documentação do desenvolvedor do serviço de gerenciamento de dispositivos.