Параметри набору даних керування пристроями Automated Certificate Management Environment (ACME) для пристроїв Apple
Ви можете конфігурувати набір даних ACME Certificate (Сертифікат ACME), щоб отримувати сертифікати від центру сертифікації (CA) для користувачів пристроїв Apple, які зареєстровано в службі керування пристроями. ACME — це сучасна альтернатива для SCEP. Це протокол, який запитує та встановлює сертифікати. Використовувати ACME потрібно разом із рішенням Managed Device Attestation.
Набір даних ACME Certificate (Сертифікат ACME) підтримує таке. Докладну інформацію наведено в статті Інформація набору даних.
Підтримуваний ідентифікатор набору даних: com.apple.security.acme
Підтримувані операційні системи та канали: iOS, iPadOS, спільний iPad, пристрій macOS, користувач macOS, tvOS, watchOS 10, visionOS 1.1.
Підтримувані методи реєстрації: реєстрація користувача, реєстрація пристрою та автоматизована реєстрація пристрою.
Дублікати дозволено: Так — пристрою може бути доставлено більш ніж один набір даних ACME Certificate (Сертифікат ACME).
З набором даних ACME Certificate (Сертифікат ACME) можна використовувати параметри, наведені в таблиці нижче.
Параметр | Опис | Обов’язково | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Client identifier (Ідентифікатор клієнта) | Унікальний рядок, що ідентифікує конкретний пристрій. Сервер може використовувати його як значення anti-replay для запобігання видачі декількох сертифікатів. Цей ідентифікатор також указує серверу ACME, що пристрій має доступ до дійсного ідентифікатора клієнта, виданого інфраструктурою підприємства. Це може допомогти серверу ACME визначити, чи варто довіряти пристрою. Хоча це відносно слабка ознака через ризик того, що зловмисник може перехопити ідентифікатор клієнта. | Так | |||||||||
URL | Адреса сервера ACME, у тому числі https://. | Так | |||||||||
Extended Key Usage (Розширене застосування ключа) | Значення являє собою масив рядків. Кожен рядок — це OID у крапковій нотації. Наприклад, ["1.3.6.1.5.5.7.3.2", "1.3.6.1.5.5.7.3.4"] указує на автентифікацію клієнта та захист електронної пошти. | Ні | |||||||||
HardwareBound (Прив’язка до обладнання) | Якщо додано, приватний ключ прив’язується до пристрою. Secure Enclave генерує пару ключів, і приватний ключ криптографічно пов’язаний із системним ключем. Це запобігає експорту приватного ключа із системи. Якщо додано, значення | Так | |||||||||
Key type (Тип ключів) | Тип пари ключів для генерації:
| Так | |||||||||
Key size (Розмір ключа) | Допустимі значення | Так | |||||||||
Subject (Суб’єкт) | Пристрій запитує цей суб’єкт для сертифіката, який видає сервер ACME. Сервер ACME може перевизначити або проігнорувати це поле в сертифікаті, який він видає. Назва X.500, представлена у вигляді таблиці, що складається з ідентифікаторів OID і відповідних значень. Наприклад, /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, або: [ [ [«C», «US»] ], [ [«O», «Apple Inc.»] ], ..., [ [ «1.2.5.3», «bar» ] ] ] | Ні | |||||||||
Subject Alternative Name Type (Тип альтернативної назви суб’єкта) | Укажіть тип альтернативної назви сервера ACME. Доступні типи: RFC 822 Name, DNS Name та Uniform Resource Identifier (URI). URI можна вказати як Uniform Resource Locator (URL), Uniform Resource Name (URN) або обидві. | Ні | |||||||||
Usage Flags (Прапорці використання) | Це значення є бітовим полем. Біт 0x01 позначає цифровий підпис. Біт 0x10 позначає узгодження ключів. Пристрій запитує цей ключ для сертифіката, який видає сервер ACME. Сервер ACME може перевизначити або проігнорувати це поле в сертифікаті, який він видає. | Ні | |||||||||
Attest (Атестація) | Якщо значення true, пристрій надає атестацію, яка описує пристрій, і згенерований ключ серверу ACME. Сервер може використовувати атестації як надійний доказ того, що ключ прив’язаний до пристрою, і що пристрій має властивості, наведені в атестації. Сервер використовує цю інформацію під час прийняття рішення про випуск запитаного сертифіката. Якщо значення Attest — «true», значення | Ні | |||||||||
Примітка. Кожен розробник служби керування пристроями реалізує ці параметри у свій спосіб. Щоб дізнатися, як різні параметри ACME Certificate застосовуються до ваших пристроїв, перегляньте документацію служби керування пристроями вашого розробника.