MDM-inställningar för nyttolasten Certificates för Apple-enheter
Du kan konfigurera Certificates-inställningar på iPhone-, iPad- och Apple TV-enheter samt Mac-datorer som har registrerats i en MDM-lösning. Använd nyttolasterna Certificates till att lägga till certifikat och en identitet på enheten.
Nyttolasterna Certificates stöder följande. Mer information finns i Nyttolastinformation.
Nyttolastidentifierare som stöds: com.apple.security.pem, com.apple.security.pem1, com.apple.security.pem12, com.apple.security.root
Operativsystem och kanaler som stöds: iOS, iPadOS, Delad iPad-enhet, macOS-enhet, macOS-användare, tvOS, watchOS 10, visionOS 1.1.
Registreringstyper som stöds: användarregistrering, enhetsregistrering, automatisk enhetsregistrering.
Dubbletter tillåts: Sant – fler än en Certificates-nyttolast kan levereras till en användare eller enhet.
Du kan använda inställningarna i tabellen nedan med nyttolasterna Certificates.
Inställning | Beskrivning | Krävs | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Certificate name | Certifikatets visningsnamn. | Ja | |||||||||
Certificate or identity data | iPhone-, iPad-, Mac- och Apple TV-enheter kan använda X.509-certifikat med RSA-nycklar. De format och kända filtillägg som kan hanteras är:
PKCS #12-filer innehåller även den privata nyckeln och innehåller exakt en identitet. För att säkerställa skyddet för den privata nyckeln krypteras PKCS #12-filer med en lösenfras. | Ja | |||||||||
Passphrase | En lösenordsfras som används till att skydda behörigheterna. | Nej | |||||||||
Obs! Olika MDM-leverantörer implementerar de här inställningarna på olika sätt. Läs dokumentationen från MDM-leverantören om du vill veta hur olika Certificate-inställningar används för dina enheter och användare.
När du lägger till ett certifikat eller en identitet
När du installerar ett rotcertifikat kan du också installera certifikat på mellannivå för att upprätta en kedja till ett betrott certifikat som finns på enheten. Det här kan vara viktigt för tekniker som 802.1X. Du kan se en lista med förinstallerade rötter för Apple-enheter i Apple Support-artikeln Lista över tillgängliga betrodda rotcertifikat i iOS 17, iPadOS 17, macOS 14, tvOS 17 och watchOS 10.
Om det certifikat eller den identitet som du vill installera finns i nyckelringen använder du Nyckelhanterare till att exportera den i PKCS #12-format (.p12). Nyckelhanterare finns i /Appar/Verktyg/. Mer information hittar du i Nyckelhanterare Användarhandbok.
Om du vill lägga till en identitet som ska användas med Microsoft Exchange eller Exchange ActiveSync, enkel inloggning, VPN och nätverk eller Wi‑Fi använder du den specifika nyttolasten.
När du driftsätter en PKCS #12-fil (.p12 eller .pfx) och utelämnar certifikatidentitetens lösenfras blir användarna ombedda att ange den när profilen är installerad. Nyttolastens innehåll förvrängs men krypteras inte. Om du inkluderar en lösenfras ser du till att profilen bara är tillgänglig för auktoriserade användare.
Istället för att installera certifikat via en konfigurationsprofil kan du låta användarna hämta certifikat till sina enheter med Safari från en webbsida som använder det certifikatet (du bör inte agera värd för certifikatet). Du kan också skicka certifikat till användare i ett mejl. Du kan även använda MDM-inställningar för nyttolasten SCEP (Simple Certificate Enrollment Protocol) till att ange hur enheten får certifikat när profilen har installerats.
Betrodda certifikat
Ett certifikat blir automatiskt fullständigt betrott om det har:
Installerats av en Apple Configurator-instans som har samma övervakningsidentitet som enheten
Installerats automatiskt från en MDM-lösning som stöds
Installerats manuellt av en nyttolast bifogad till en registreringsprofil från en MDM-lösning som stöds
Undvik i görligaste mån att låta användarna installera certifikat manuellt. Istället bör du se till att nyttolasten Certificates finns i MDM-registreringsprofilen för att utesluta steget att manuellt ange certifikatet som betrott.