Nastavenia objemu dát Prostredie na automatizovanú správu certifikátov (ACME) v správe zariadení pre Apple zariadenia
Pre užívateľov Apple zariadení registrovaných do služby správy zariadení môžete konfigurovať objem dát Certifikát ACME na získanie certifikátov od certifikačnej autority (CA) . ACME je moderná alternatíva k SCEP. Je to protokol na vyžadovanie a inštaláciu certifikátov. ACME sa vyžaduje pri používaní atestácie spravovaných zariadení.
Objem dát Certifikát ACME podporuje nasledujúce položky. Viac informácií nájdete v téme Informácie o objeme dát.
Identifikátor podporovaného objemu dát: com.apple.security.acme
Podporované operačné systémy a kanály: iOS, iPadOS, zariadenie s funkciou Zdieľaný iPad, zariadenie so systémom macOS, užívateľ systému macOS, tvOS, watchOS 10, visionOS 1.1.
Podporované metódy registrácie: Registrácia užívateľov, registrácia zariadení, automatická registrácia zariadení.
Sú povolené duplikáty: True – na zariadenie je možné odoslať viac ako jeden objem dát Certifikát ACME.
Nastavenia v tabuľke nižšie môžete používať s objemom dát Certifikát ACME.
Nastavenie | Popis | Vyžaduje sa | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Identifikátor klienta | Jedinečný reťazec identifikujúci konkrétne zariadenie. Server ho môže používať ako hodnotu proti opakovaniu na zabránenie vydávaniu viacerých certifikátov. Tento identifikátor tiež oznamuje serveru ACME, že zariadenie má prístup k platnému identifikátoru klienta vydanému podnikovou infraštruktúrou. Serveru ACME to môže pomôcť určiť, či má danému zariadeniu dôverovať. Na druhej strane, ide o relatívne slabý indikátor kvôli riziku, že útočník môže identifikátora klienta ukradnúť. | Áno | |||||||||
URL | Adresa servera ACME vrátane https://. | Áno | |||||||||
Použitie rozšíreného kľúča | Hodnota je rozsah reťazcov. Každý reťazec je OID in v desatinnom zápise. Napríklad [”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] znamená autentifikáciu klienta a emailovú ochranu. | Nie | |||||||||
HardwareBound | V prípade jeho pridania bude súkromný kľúč pripojený k zariadeniu. Secure Enclave vygeneruje pár kľúčov a súkromný kľúč sa kryptograficky prepletie so systémovým kľúčom. Zabráni sa tým systému exportovať súkromný kľúč. Po pridaní musí byť | Áno | |||||||||
Typ kľúča | Typ páru kľúčov na vygenerovanie:
| Áno | |||||||||
Key size | Platné hodnoty pre | Áno | |||||||||
Subject | Zariadenie vyžiada tento predmet pre certifikát, ktorý vydáva server ACME. Server ACME môže toto pole v certifikáte, ktorý vydáva, prepísať alebo ignorovať. Zobrazenie názvu X.500 reprezentované ako pole OID a hodnoty. Napríklad, /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, čo znamená: [ [ [„C“, „US“] ], [ [„O“, „Apple Inc.“] ], ..., [ [ „1.2.5.3“, „bar“ ] ] ] | Nie | |||||||||
Subject Alternative Name Type | Špecifikácia typu alternatívneho názvu servera ACME. Typy sú Názov RFC 822, Názov DNS a URI (Uniform Resource Identifier). Môže to byť URL (Uniform Resource Locator), URN (Uniform Resource Name) alebo obidva. | Nie | |||||||||
Značky na používanie | Táto hodnota je bitové pole. Bit 0x01 označuje digitálny podpis. Bit 0x10 označuje dohodu kľúčov. Zariadenie vyžiada tento kľúč pre certifikát, ktorý vydáva server ACME. Server ACME môže toto pole v certifikáte, ktorý vydáva, prepísať alebo ignorovať. | Nie | |||||||||
Attest | Ak je hodnota true, zariadenie poskytne serveru ACME atestáciu opisujúcu zariadenie a vygenerovaný kľúč. Server môže atestácie použiť ako silný dôkaz, že kľúč je naviazaný na zariadenie a že zariadenie má vlastnosti, ktoré sú uvedené v atestácii. Server to môže použiť ako súčasť skóre dôveryhodnosti, na základe ktorého rozhodne, či vydá požadovaný certifikát. Keď má položka Attest hodnota true, aj položka | Nie | |||||||||
Poznámka: Implementácia týchto nastavení sa u rôznych vývojárov služieb správy zariadení líši. Informácie o tom, ako sa rôzne nastavenia ACME certifikáty použijú na vaše zariadenia a na užívateľov, nájdete v dokumentácii vývojára služby správy zariadení.