Розповсюдження сертифікатів на пристроях Apple
Ви можете вручну надсилати сертифікати на пристрої iPhone, iPad і Apple Vision Pro. Коли користувачі отримують сертифікат, можна торканням переглянути його вміст, а потім торканням додати сертифікат до пристрою. Коли сертифікат посвідчення інстальовано, користувач має ввести пароль, який його захищає. Якщо неможливо перевірити автентичність сертифіката, він відображається як ненадійний, і користувач самостійно приймає рішення, чи додавати його на пристрій.
Сертифікати на комп’ютерах Mac можна розповсюджувати вручну. Коли користувачі отримують сертифікат, вони двічі клацають його для перегляду вмісту в Ключарі. Якщо це очікуваний сертифікат, користувачі можуть вибрати потрібну в’язку й клацнути кнопку «Додати». Більшість сертифікатів користувачів потрібно інсталювати у в’язку login. Коли сертифікат посвідчення інстальовано, користувач має ввести пароль, який його захищає. Якщо неможливо перевірити автентичність сертифіката, він відображається як ненадійний, і користувач самостійно приймає рішення, чи додавати його на Mac.
Деякі посвідчення сертифікатів можна поновлювати автоматично на комп’ютерах Mac.
Способи розгортання сертифікатів за допомогою набору даних MDM
У таблиці наведено різні набори даних для розгортання сертифікатів за допомогою профілів конфігурації. Сюди належать набори даних Active Directory Certificate, Certificate (для цифрового сертифікату PKCS #12), Automated Certificate Management Environment (ACME) і Simple Certificate Enrollment Protocol (SCEP).
Корисні дані | Підтримувані операційні системи та канали | Опис | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Набір даних Active Directory Certificate | Пристрій macOS Користувач macOS | Конфігуруючи набір даних Active Directory Certificate, macOS розміщує запит на підписування сертифіката безпосередньо в центрі сертифікації сервера Active Directory Certificate Services через виклик Remote Procedure Call (RPC). Зареєструвати апаратне посвідчення можна за допомогою ідентифікаційних даних об’єкта комп’ютера Mac в Active Directory. Користувачі можуть надати свої ідентифікаційні дані в процесі реєстрації для ініціалізації окремих посвідчень. За допомогою цього набору даних адміністратори отримують додатковий контроль використання приватних ключів і шаблонів сертифікатів для реєстрації. Як і зі SCEP, приватний ключ залишається на пристрої. | |||||||||
Набір даних ACME | iOS iPadOS Спільний iPad Пристрій macOS Користувач macOS tvOS watchOS 10 visionOS 1.1 | Пристрій отримує сертифікати в центру сертифікації для пристроїв Apple, зареєстрованих в рішенні MDM. З такою технологією приватний ключ залишається тільки на пристрої і може бути прив’язаний до пристрою апаратно. | |||||||||
Набір даних Certificates (для цифрового сертифікату PKCS #12) | iOS iPadOS Спільний iPad Пристрій macOS Користувач macOS tvOS watchOS 10 visionOS 1.1 | Якщо посвідчення надається з пристрою від імені користувача або пристрою, воно може бути запаковане у файл PKCS #12 (.p12 або .pfx) і захищене паролем. Якщо набір даних містить пароль, посвідчення може бути інстальоване без запитування користувача. | |||||||||
Набір даних SCEP | iOS iPadOS Спільний iPad Пристрій macOS Користувач macOS tvOS watchOS 10 visionOS 1.1 | Пристрій розміщує запит на підписання сертифіката безпосередньо на сервері реєстрації. З такою технологією приватний ключ залишається тільки на пристрої. | |||||||||
Щоб пов’язати служби з певним посвідченням, налаштуйте набір даних ACME, SCEP або сертифіката, а потім налаштуйте потрібну службу в тому ж профілі конфігурації. Наприклад, набір даних SCEP може надавати посвідчення для пристрою, і в цьому ж профілі конфігурації можна налаштувати набір даних Wi-Fi для автентифікації WPA2 Enterprise/EAP-TLS за допомогою сертифіката пристрою, отриманого в результаті реєстрації SCEP.
Щоб пов’язати служби з певним посвідченням у macOS, налаштуйте Active Directory Certificate, ACME, SCEP або набір даних сертифіката, а потім налаштуйте потрібну службу в тому ж профілі конфігурації. Наприклад, набір даних Active Directory Certificate можна конфігурувати для надання посвідчення пристроєві, і в цьому ж профілі конфігурації можна налаштувати набір даних Wi-Fi для автентифікації WPA2 Enterprise EAP-TLS за допомогою сертифіката пристрою, отриманого внаслідок реєстрації Active Directory Certificate.
Оновлення сертифікатів, інстальованих профілями конфігурації
Для забезпечення неперервності роботи сервісів сертифікати, розгорнуті за допомогою рішення MDM слід оновлювати до завершення їх терміну. Для цього рішення MDM може запитувати інстальовані сертифікати, перевіряти термін дії і випускати новий профіль конфігурації заздалегідь.
Для сертифікатів Active Directory, коли посвідчення сертифікатів розгорнуто як частину профілю пристрою, типовою поведінкою в macOS 13 і новіших є автоматичне поновлення. Адміністратори можуть налаштувати системні параметри, щоб змінити цю поведінку. Докладніше читайте в статті служби підтримки Apple Автоматичне поновлення сертифікатів, надісланих через профіль конфігурації.
Інсталювання сертифікатів з програми «Пошта» або Safari
Можна надіслати сертифікат як вкладення поштового повідомлення або розмістити його на захищеному вебсайті, звідки користувачі можуть викачати сертифікати на свої пристрої Apple.
Вилучення та відкликання сертифікатів
Рішення MDM може переглядати всі сертифікати на пристрої і вилучати будь-який з інстальованих за його допомогою.
Крім того підтримується протокол Online Certificate Status Protocol (OCSP) для перевірки стану сертифікатів. Якщо використовується сертифікат з увімкненою підтримкою протоколу OCSP, операційні системи iOS, iPadOS, macOS і visionOS періодично перевіряють, чи сертифікат не відкликано.
Щоб відкликати сертифікати за допомогою профілю конфігурації, перегляньте статтю про параметри набору даних MDM Certificate Revocation (Відкликання сертифіката).
Щоб вручну вилучити інстальований сертифікат в iOS, iPadOS, visionOS 1.1 і новіших, перейдіть у меню Параметри > Загальні > Керування пристроєм, виберіть профіль, торкніть «Інші деталі», а потім торкніть сертифікат, щоб вилучити його. Якщо ви вилучаєте сертифікат, потрібний для доступу до облікового запису або мережі, пристрій iPhone, iPad або Apple Vision Pro більше не зможе під’єднуватися до цих сервісів.
Щоб вручну вилучити інстальований сертифікат у macOS, запустіть програму «Ключар», а потім знайдіть потрібний сертифікат. Виберіть його та видаліть із в’язки. Якщо вилучити сертифікат, необхідний для доступу до облікового запису або мережі, Mac більше не зможе під’єднуватися до цих служб.