Ajustes do payload de gerenciamento de dispositivos de Ambiente Automatizado de Gerenciamento de Certificados (ACME) em dispositivos Apple
Você pode configurar o payload de Certificado ACME para obter certificados de uma autoridade de certificação (AC) para usuários de dispositivos Apple registrados em um serviço de gerenciamento de dispositivos. O ACME é uma alternativa moderna ao SCEP. Ele é um protocolo que solicita e instala certificados. O uso do ACME é exigido ao usar o Atestado de Dispositivo Gerenciado.
O payload de Certificado ACME é compatível com os itens a seguir. Para obter mais informações, consulte Informações do payload.
Identificador de payload compatível: com.apple.security.acme
Sistemas operacionais compatíveis e canais: iOS, iPadOS, dispositivo iPad Compartilhado, dispositivo com macOS, usuário de macOS, tvOS, watchOS 10, visionOS 1.1.
Métodos de registro compatíveis: Registro de Usuário, Registro de Dispositivo, Registro de Dispositivo Automatizado.
Duplicatas permitidas: Verdadeiro — mais de um payload de Certificado ACME pode ser entregue a um dispositivo.
Você pode usar os ajustes da tabela abaixo com o payload de Certificado ACME.
Ajuste | Descrição | Obrigatório | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Client identifier | Uma string exclusiva que identifica um dispositivo específico. O servidor pode usar isso como um valor antirreprodução para evitar a emissão de vários certificados. Este identificador também indica ao servidor ACME que o dispositivo possui acesso a um identificador de cliente válido emitido pela infraestrutura corporativa. Isso pode ajudar o servidor ACME a determinar se pode confiar no dispositivo. No entanto, essa é uma indicação relativamente fraca devido ao risco de que um invasor intercepte o identificador do cliente. | Sim | |||||||||
URL | O endereço do servidor ACME, incluindo https://. | Sim | |||||||||
Extended Key Usage | O valor é uma matriz de strings. Cada string é um OID, com notação por pontos. Por exemplo, [”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] indica autenticação de cliente e proteção de e-mail. | Não | |||||||||
HardwareBound | Caso seja adicionada, a chave privada é vinculada ao dispositivo. O Secure Enclave gera o par de chaves e a chave privada é enredada criptograficamente com uma chave do sistema. Isso impede que o sistema exporte a chave privada. Se adicionado, | Sim | |||||||||
Key type | O tipo de par de chaves a serem geradas:
| Sim | |||||||||
Key size | Os valores válidos de | Sim | |||||||||
Assunto | O dispositivo solicita este assunto para o certificado emitido pelo servidor ACME. O servidor ACME pode ignorar este campo no certificado que emite. A representação de um nome X.500 com uma matriz de OID e valor. Por exemplo, /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, que significa: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | Não | |||||||||
Tipo de Nome Alternativo de Sujeito | Especifica o tipo de um nome alternativo para o servidor ACME. Os tipos são Nome RFC 822, Nome do DNS e URI (Uniform Resource Identifier). Pode ser URL, URN ou ambos. | Não | |||||||||
Usage Flags | Este valor é um campo de bits. O bit 0x01 indica uma assinatura digital. O bit 0x10 indica um acordo de chaves. O dispositivo solicita essa chave para o certificado emitido pelo servidor ACME. O servidor ACME pode ignorar este campo no certificado que emite. | Não | |||||||||
Attest | Se verdadeiro, o dispositivo fornece atestados que descrevem o dispositivo e a chave gerada ao servidor ACME. O servidor pode usar os atestados como forte evidência de que a chave está destinada ao dispositivo e que o dispositivo tem propriedades enumeradas no atestado. O servidor pode usar isso como parte de uma pontuação de confiança para decidir se o certificado solicitado será emitido. Quando Attest é verdadeiro, | Não | |||||||||
Nota: cada desenvolvedor de serviço de gerenciamento de dispositivos implementa estes ajustes de maneira diferente. Para saber como os diferentes ajustes de Certificado ACME são aplicados a dispositivos, consulte a documentação do desenvolvedor do serviço de gerenciamento de dispositivos.