Nastavenia objemu dát MDM Prostredie na automatizovanú správu certifikátov (ACME) pre Apple zariadenia
Môžete konfigurovať objem dát certifikátu ACME na získanie certifikátov od certifikačnej autority (CA) pre Apple zariadenia zaregistrované do riešenia správy mobilných zariadení (MDM). ACME je moderná alternatíva k SCEP. Je to protokol na vyžadovanie a inštaláciu certifikátov. ACME sa vyžaduje pri používaní atestácie spravovaných zariadení.
Objem dát Certifikát ACME podporuje nasledujúce položky. Viac informácií nájdete v téme Informácie o objeme dát.
Identifikátor podporovaného objemu dát: com.apple.security.acme
Podporované operačné systémy a kanály: iOS, iPadOS, zariadenie s funkciou Zdieľaný iPad, zariadenie so systémom macOS, užívateľ systému macOS, tvOS, watchOS 10, visionOS 1.1.
Podporované typy registrácie: Registrácia užívateľov, registrácia zariadení, automatická registrácia zariadení.
Sú povolené duplikáty: True – na zariadenie je možné odoslať viac ako jeden objem dát Certifikát ACME.
Nastavenia v tabuľke nižšie môžete používať s objemom dát Certifikát ACME.
Nastavenie | Popis | Vyžaduje sa | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Identifikátor klienta | Jedinečný reťazec identifikujúci konkrétne zariadenie. Server ho môže používať ako hodnotu proti opakovaniu na zabránenie vydávaniu viacerých certifikátov. Tento identifikátor tiež oznamuje serveru ACME, že zariadenie má prístup k platnému identifikátoru klienta vydanému podnikovou infraštruktúrou. Serveru ACME to môže pomôcť určiť, či má danému zariadeniu dôverovať. Na druhej strane, ide o relatívne slabý indikátor kvôli riziku, že útočník môže identifikátora klienta ukradnúť. | Áno | |||||||||
URL | Adresa servera ACME vrátane https://. | Áno | |||||||||
Použitie rozšíreného kľúča | Hodnota je rozsah reťazcov. Každý reťazec je OID in v desatinnom zápise. Napríklad [”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] znamená autentifikáciu klienta a emailovú ochranu. | Nie | |||||||||
HardwareBound | V prípade jeho pridania bude súkromný kľúč pripojený k zariadeniu. Secure Enclave vygeneruje pár kľúčov a súkromný kľúč sa kryptograficky prepletie so systémovým kľúčom. Zabráni sa tým systému exportovať súkromný kľúč. KeyType musí byť v prípade pridania ECSECPrimeRandom a KeySize musí byť 256 alebo 384.) | Áno | |||||||||
Typ kľúča | Typ páru kľúčov na vygenerovanie:
| Áno | |||||||||
Key size | Platné hodnoty pre KeySize závisia od hodnôt KeyType a HardwareBound. | Áno | |||||||||
Subject | Zariadenie vyžiada tento predmet pre certifikát, ktorý vydáva server ACME. Server ACME môže toto pole v certifikáte, ktorý vydáva, prepísať alebo ignorovať. Zobrazenie názvu X.500 reprezentované ako pole OID a hodnoty. Napríklad, /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, čo znamená: [ [ [„C“, „US“] ], [ [„O“, „Apple Inc.“] ], ..., [ [ „1.2.5.3“, „bar“ ] ] ] | Nie | |||||||||
Subject Alternative Name Type | Špecifikácia typu alternatívneho názvu servera ACME. Typy sú Názov RFC 822, Názov DNS a URI (Uniform Resource Identifier). Môže to byť URL (Uniform Resource Locator), URN (Uniform Resource Name) alebo obidva. | Nie | |||||||||
Značky na používanie | Táto hodnota je bitové pole. Bit 0x01 označuje digitálny podpis. Bit 0x10 označuje dohodu kľúčov. Zariadenie vyžiada tento kľúč pre certifikát, ktorý vydáva server ACME. Server ACME môže toto pole v certifikáte, ktorý vydáva, prepísať alebo ignorovať. | Nie | |||||||||
Attest | Ak je hodnota true, zariadenie poskytne serveru ACME atestáciu opisujúcu zariadenie a vygenerovaný kľúč. Server môže atestácie použiť ako silný dôkaz, že kľúč je naviazaný na zariadenie a že zariadenie má vlastnosti, ktoré sú uvedené v atestácii. Server to môže použiť ako súčasť skóre dôveryhodnosti, na základe ktorého rozhodne, či vydá požadovaný certifikát. Keď má položka Attest hodnota true, aj položka HardwareBound musí mať hodnotu true. | Nie | |||||||||
Poznámka: Implementácia týchto nastavení sa u rôznych dodávateľov riešení MDM líšia. Informácie o tom, ako sa rôzne nastavenia Certifikát ACME použijú na vaše zariadenia, nájdete v dokumentácii dodávateľa riešenia MDM.