Ajustes do payload MDM de Ambiente Automatizado de Gerenciamento de Certificados (ACME) para dispositivos Apple
Você pode configurar os ajustes do payload de Certificado ACME para obter certificados de uma autoridade de certificação (AC) para dispositivos Apple registrados em uma solução de gerenciamento de dispositivos móveis (MDM). O ACME é uma alternativa moderna ao SCEP. Ele é um protocolo que solicita e instala certificados. O uso do ACME é exigido ao usar o Atestado de Dispositivo Gerenciado.
O payload de Certificado ACME é compatível com os itens a seguir. Para obter mais informações, consulte Informações do payload.
Identificador de payload compatível: com.apple.security.acme
Sistemas operacionais compatíveis e canais: iOS, iPadOS, dispositivo iPad Compartilhado, dispositivo com macOS, usuário de macOS, tvOS, watchOS 10, visionOS 1.1.
Tipos de registro compatíveis: Registro de Usuário, Registro de Dispositivo, Registro de Dispositivo Automatizado.
Duplicatas permitidas: Verdadeiro — mais de um payload de Certificado ACME pode ser entregue a um dispositivo.
Você pode usar os ajustes da tabela abaixo com o payload de Certificado ACME.
Ajuste | Descrição | Obrigatório | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Client identifier | Uma string exclusiva que identifica um dispositivo específico. O servidor pode usar isso como um valor antirreprodução para evitar a emissão de vários certificados. Este identificador também indica ao servidor ACME que o dispositivo possui acesso a um identificador de cliente válido emitido pela infraestrutura corporativa. Isso pode ajudar o servidor ACME a determinar se pode confiar no dispositivo. No entanto, essa é uma indicação relativamente fraca devido ao risco de que um invasor intercepte o identificador do cliente. | Sim | |||||||||
URL | O endereço do servidor ACME, incluindo https://. | Sim | |||||||||
Extended Key Usage | O valor é uma matriz de strings. Cada string é um OID, com notação por pontos. Por exemplo, [”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] indica autenticação de cliente e proteção de e-mail. | Não | |||||||||
HardwareBound | Caso seja adicionada, a chave privada é vinculada ao dispositivo. O Secure Enclave gera o par de chaves e a chave privada é enredada criptograficamente com uma chave do sistema. Isso impede que o sistema exporte a chave privada. Caso seja adicionada, KeyType deve ser ECSECPrimeRandom e KeySize deve ser 256 ou 384. | Sim | |||||||||
Key type | O tipo de par de chaves a serem geradas:
| Sim | |||||||||
Key size | Os valores válidos de KeySize dependem dos valores de KeyType e HardwareBound. | Sim | |||||||||
Assunto | O dispositivo solicita este assunto para o certificado emitido pelo servidor ACME. O servidor ACME pode ignorar este campo no certificado que emite. A representação de um nome X.500 com uma matriz de OID e valor. Por exemplo, /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, que significa: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | Não | |||||||||
Tipo de Nome Alternativo de Sujeito | Especifica o tipo de um nome alternativo para o servidor ACME. Os tipos são Nome RFC 822, Nome do DNS e URI (Uniform Resource Identifier). Pode ser URL, URN ou ambos. | Não | |||||||||
Usage Flags | Este valor é um campo de bits. O bit 0x01 indica uma assinatura digital. O bit 0x10 indica um acordo de chaves. O dispositivo solicita essa chave para o certificado emitido pelo servidor ACME. O servidor ACME pode ignorar este campo no certificado que emite. | Não | |||||||||
Attest | Se verdadeiro, o dispositivo fornece atestados que descrevem o dispositivo e a chave gerada ao servidor ACME. O servidor pode usar os atestados como forte evidência de que a chave está destinada ao dispositivo e que o dispositivo tem propriedades enumeradas no atestado. O servidor pode usar isso como parte de uma pontuação de confiança para decidir se o certificado solicitado será emitido. Quando Attest é verdadeiro, HardwareBound também deve ser verdadeiro. | Não | |||||||||
Nota: cada fornecedor de MDM implementa esses ajustes de maneira diferente. Para saber como diferentes ajustes de Certificado ACME são aplicados aos dispositivos, consulte a documentação do fornecedor do MDM.