Apple 平台部署
- 欢迎使用
- Apple 平台部署介绍
- 新功能
-
-
- 声明式状态报告
- 声明式 App 配置
- 认证凭证和身份资源声明
- 后台任务管理声明式
- “日历”声明式配置
- “证书”声明式配置
- “通讯录”声明式配置
- Exchange 声明式配置
- “谷歌账户”声明式配置
- LDAP 声明式配置
- 旧有交互式描述文件的声明式配置
- 旧有描述文件声明式配置
- “邮件”声明式配置
- 数学笔记和计算器 App 声明式配置
- “密码”声明式配置
- “通行密钥证明”声明式配置
- Safari 浏览器浏览管理声明式配置
- Safari 浏览器扩展管理声明式配置
- “屏幕共享”声明式配置
- 服务配置文件声明式配置
- “软件更新”声明式配置
- “软件更新”设置声明式配置
- 储存空间管理声明式配置
- “已订阅的日历”声明式配置
-
-
- 辅助功能有效负载设置
- “Active Directory 证书”有效负载设置
- “隔空播放”有效负载设置
- “隔空播放安全性”有效负载设置
- “隔空打印”有效负载设置
- “App 锁定”有效负载设置
- “关联域”有效负载设置
- “自动化证书管理环境” (ACME) 有效负载设置
- “自治单 App 模式”有效负载设置
- “日历”有效负载设置
- “蜂窝网络”有效负载设置
- “蜂窝专用网络”有效负载设置
- “证书偏好设置”有效负载设置
- “证书撤销”有效负载设置
- “证书透明度”有效负载设置
- “证书”有效负载设置
- “会议室显示器”有效负载设置
- “通讯录”有效负载设置
- “内容缓存”有效负载设置
- “目录服务”有效负载设置
- “DNS 代理”有效负载设置
- “DNS 设置”有效负载设置
- “程序坞”有效负载设置
- “域”有效负载设置
- “节能”有效负载设置
- Exchange ActiveSync (EAS) 有效负载设置
- Exchange Web 服务 (EWS) 有效负载设置
- “可扩展单点登录”有效负载设置
- “可扩展单点登录 Kerberos”有效负载设置
- “扩展”有效负载设置
- “文件保险箱”有效负载设置
- “访达”有效负载设置
- “防火墙”有效负载设置
- “字体”有效负载设置
- “全局 HTTP 代理”有效负载设置
- “谷歌账户”有效负载设置
- “主屏幕布局”有效负载设置
- 身份有效负载设置
- “身份偏好设置”有效负载设置
- “内核扩展策略”有效负载设置
- LDAP 有效负载设置
- “无人值守管理”有效负载设置
- “锁屏信息”有效负载设置
- 登录窗口有效负载设置
- “管理式登录项”有效负载设置
- 邮件有效负载设置
- “网络使用规则”有效负载设置
- “通知”有效负载设置
- “家长控制”有效负载设置
- “密码”有效负载设置
- “打印”有效负载设置
- “隐私偏好设置策略控制”有效负载设置
- “中继”有效负载设置
- SCEP 有效负载设置
- “安全性”有效负载设置
- “设置助理”有效负载设置
- “单点登录”有效负载设置
- “智能卡”有效负载设置
- “已订阅的日历”有效负载设置
- “系统扩展”有效负载设置
- “系统迁移”有效负载设置
- “时间机器”有效负载设置
- “电视遥控器”有效负载设置
- Web Clip 有效负载设置
- “网页内容过滤器”有效负载设置
- Xsan 有效负载设置
-
- 词汇表
- 文稿修订历史
- 版权和商标
将证书分发给 Apple 设备
你可以手动将证书分发到 iPhone、iPad 和 Apple Vision Pro 设备。用户收到证书后,可以轻点以查看内容,然后再次轻点以将此证书添加到设备。身份证书安装后,系统将请用户提供用于保护证书的密码。如果无法验证证书的真实性,则会将其显示为不可信证书,用户可决定是否要将其添加到设备中。
你可以手动将证书分发给 Mac 电脑。用户收到证书后,只需连按该证书即可打开“钥匙串访问”并查看内容。如果证书与预期相符,用户可以选择想要的钥匙串并点按“添加”按钮。绝大部分用户证书需要在登录钥匙串中安装。身份证书安装后,系统将请用户提供用于保护证书的密码。如果无法验证证书的真实性,则会将其显示为不可信证书,用户可决定是否要将其添加到 Mac 中。
部分证书身份可在 Mac 电脑上自动续期。
使用设备管理有效负载的证书部署方法
下表显示了使用配置描述文件部署证书的不同有效负载。这些有效负载包括 Active Directory 证书有效负载、证书有效负载(针对 PKCS #12 身份证书)、自动化证书管理环境 (ACME) 有效负载以及简单证书注册协议 (SCEP) 有效负载。
有效负载 | 支持的操作系统和通道 | 描述 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Active Directory 证书有效负载 | macOS 设备 macOS 用户 | 通过配置 Active Directory 证书有效负载,macOS 通过远程过程调用直接向 Active Directory 证书服务服务器颁发的 CA 发出证书签名请求。你可以使用 Active Directory 中 Mac 电脑的对象的凭证来注册机器身份。用户可以在注册过程中提供他们的凭证,以预置个人身份。使用此有效负载,管理员可对专用密钥的使用和注册用的证书模板拥有更多的控制。与 SCEP 一样,专用密钥保留在设备上。 | |||||||||
ACME 有效负载 | iOS iPadOS “共享 iPad”设备 macOS 设备 macOS 用户 Apple tvOS watchOS 10 visionOS 1.1 | 设备为设备管理服务中注册的 Apple 设备获取来自 CA 的证书。使用此技术时,专用密钥仅保留在设备上,也可选择通过硬件绑定到设备。 | |||||||||
证书有效负载(针对 PKCS #12 身份证书) | iOS iPadOS “共享 iPad”设备 macOS 设备 macOS 用户 Apple tvOS watchOS 10 visionOS 1.1 | 如果身份以用户或设备名义预置在设备上,则可以将它打包到 PKCS #12 文件(.p12 或 .pfx)并使用密码进行保护。如果有效负载包含密码,则身份可在不提示用户的情况下进行安装。 | |||||||||
SCEP 有效负载 | iOS iPadOS “共享 iPad”设备 macOS 设备 macOS 用户 Apple tvOS watchOS 10 visionOS 1.1 | 设备直接向注册服务器提出证书签名申请。使用此技术时,专用密钥仅保留在设备上。 | |||||||||
若要关联服务与某个特定身份,请先配置 ACME、SCEP 或证书有效负载,然后在同一配置描述文件中配置想要的服务。例如,可以配置 SCEP 有效负载来为设备预置一个身份,然后在同一配置描述文件中,使用在 SCEP 注册中获取的用于认证的设备证书来为 WPA2 企业级/EAP-TLS 配置无线局域网有效负载。
若要将服务与 macOS 中的某个特定身份关联,请先配置 Active Directory 证书、ACME、SCEP 或证书有效负载,然后在同一配置描述文件中配置想要的服务。例如,你可以配置 Active Directory 证书有效负载来为设备预置一个身份,然后在同一配置描述文件中,使用在 Active Directory 证书注册中获取的用于认证的设备证书来为 WPA2 企业级 (EAP-TLS) 配置无线局域网有效负载。
续期通过配置描述文件安装的证书
为确保持续访问服务,在证书过期之前,你需要续期使用设备管理服务部署的证书。为了续期,设备管理服务会查询所安装的证书、检查有效期并在到期日之前签发新的描述文件或配置。
对于 Active Directory 证书,当证书身份作为设备描述文件的一部分部署时,在运行 macOS 13 或更高版本的 Mac 中会默认自动续期。管理员可以设定系统偏好设置以修改此行为。有关更多信息,请参阅 Apple 支持文章:自动续订通过配置描述文件交付的证书。
通过“邮件”或 Safari 浏览器安装证书
你可以将证书作为邮件附件发送,或将证书托管到安全的网站,供用户将其下载到自己的 Apple 设备上。
移除和撤销证书
设备管理服务可以查看设备上的所有证书,以及移除其安装的任何证书。
此外,支持通过在线证书状态协议 (OCSP) 来检查证书的状态。使用支持 OCSP 的证书时,iOS、iPadOS、macOS 和 visionOS 会定期验证证书,确保它未被撤销。
若要使用配置描述文件撤销证书,请参阅“证书撤销”设备管理有效负载设置。
若要手动移除 iPhone、iPad 和 Apple Vision Pro(查看受支持的设备)中已安装的证书,请前往“设置”>“通用”>“设备管理”,选择一个描述文件,轻点“更多详细信息”,然后轻点证书以移除。如果移除访问账户或网络必需的证书,iPhone、iPad 或 Apple Vision Pro 将无法再连接到这些服务。
若要手动移除 macOS 中已安装的证书,请开启“钥匙串访问” App,然后搜索该证书。选择该证书,然后将它从钥匙串中删除。如果你移除的证书是访问账户或网络所必需的,Mac 将无法再连接到这些服务。