Apple 平台部署
- 歡迎
- Apple 平台部署簡介
- 新功能
-
-
- 「輔助使用」承載資料設定
- 「Active Directory 證書」承載資料設定
- AirPlay 承載資料設定
- 「AirPlay 保安」承載資料設定
- AirPrint 承載資料設定
- 「App 鎖定」承載資料設定
- 「相關網域」承載資料設定
- 「自動證書管理環境」(ACME)承載資料設定
- 「自主單一 App 模式」承載資料設定
- 「日曆」承載資料設定
- 「流動網絡」承載資料設定
- 「私人流動網絡」承載資料設定
- 「證書偏好設定」承載資料設定
- 「證書撤銷」承載資料設定
- 「證書透明度」承載資料設定
- 「證書」承載資料設定
- 「會議室顯示器」承載資料設定
- 「通訊錄」承載資料設定
- 「內容快取」承載資料設定
- 「目錄服務」承載資料設定
- 「DNS 代理」承載資料設定
- 「DNS 設定」承載資料設定
- Dock 承載資料設定
- 「網域」承載資料設定
- 「能源節約器」承載資料設定
- Exchange ActiveSync(EAS)承載資料設定
- Exchange Web Services(EWS)承載資料設定
- 「可延伸的單一登入」承載資料設定
- 「可延伸的單一登入 Kerberos」承載資料設定
- 「延伸功能」承載資料設定
- 「檔案保險箱」承載資料設定
- Finder 承載資料設定
- 「防火牆」承載資料設定
- 「字體」承載資料設定
- 「全域 HTTP 代理」承載資料設定
- 「Google 帳户」承載資料設定
- 「主畫面圖示排列」承載資料設定
- 「識別身份」承載資料設定
- 「身份偏好設定」承載資料設定
- 「核心延伸功能規則」承載資料設定
- LDAP 承載資料設定
- 「Lights Out 管理」承載資料設定
- 「鎖定畫面訊息」承載資料設定
- 「登入視窗」承載資料設定
- 管理式「登入項目」承載資料設定
- 「郵件」承載資料設定
- 「網絡使用規則」承載資料設定
- 「通知」承載資料設定
- 「分級保護控制」承載資料設定
- 「密碼」承載資料設定
- 「列印」承載資料設定
- 「私隱偏好設定規則控制項目」承載資料設定
- 「轉送」承載資料設定
- SCEP 承載資料設定
- 「保安」承載資料設定
- 「設定輔助程式」承載資料設定
- 「單一登入」承載資料設定
- 「智慧卡」承載資料設定
- 「已訂閲的日曆」承載資料設定
- 「系統延伸功能」承載資料設定
- 「系統轉移」承載資料設定
- 「時光機」承載資料設定
- 「電視遙控器」承載資料設定
- Web Clip 承載資料設定
- 「網頁內容過濾器」承載資料設定
- Xsan 承載資料設定
- 詞彙表
- 文件修正記錄
- 版權
Apple 裝置的證書管理簡介
Apple 裝置支援數碼證書識別和身份,讓你的機構能夠以簡化的方式存取內部服務。 這些證書有各式各樣的使用方式。 例如,Safari 瀏覽器會檢查 X.509 電子證書的有效性,並建立具有 256 位元 AES 加密的安全區段。 這包括確認網站的身份是否合法,以及與網站之間的通訊是否受到保護,以避免私人與機密資料遭到攔截。 證書可用於確保作者或「簽名者」的身份,並可為郵件、設定描述檔及網絡通訊加密。
配搭 Apple 裝置使用證書
Apple 裝置包括許多來自各證書管理中心(CA)預先安裝的根證書,而 iOS、iPadOS、macOS 和 visionOS 會驗證對這些根證書的信任。 這些電子證書可用來安全識別用户端或伺服器,並使用公用和專用密鑰配對來加密彼此之間的通訊。 證書包括公用密鑰、用户端(或伺服器)的相關資料,並由 CA 所簽署(驗證)。
如 iOS、iPadOS、macOS 或 visionOS 無法驗證簽署 CA 的信任鏈,服務便會發生錯誤。 自簽證書如無與用户互動,便無法完成驗證。 如需更多資料,請參閲 Apple 支援文章:iOS 17、iPadOS 17、macOS 14、tvOS 17 及 watchOS 10 可用的受信任根證書列表。
如果預先安裝的根證書遭盜用,iPhone、iPad 和 Mac 裝置可以透過無線方式(Mac 亦可使用乙太網絡)更新證書。 你可以使用流動裝置管理(MDM)限制「允許證書信任設定的自動更新」來停用此功能,這樣可阻止無線或有線網絡上的證書更新。
支援的身份類型
證書與其相關的專用密鑰則稱為身份。 證書可以自由分派,但必須確保身份的安全。 自由分派的證書(尤其是公用密鑰)的用途為加密(只能由符合的專用密鑰解密)。 身份的專用密鑰部份會儲存為 PKCS #12 識別身份證書(.p12)檔案,並以另一組由密碼保護的密鑰來加密。 身份可用於認證(如 802.1X EAP-TLS)、簽署或加密(如 S/MIME)。
Apple 裝置支援的證書和身份格式如下:
證書: .cer、.crt、.der、具有 RSA 密鑰的 X.509 證書
身份: .pfx、.p12
證書信任
如證書已由 CA 所發出,而該 CA 的根證書並不在受信任的根證書列表中,iOS、iPadOS、macOS 或 visionOS 將不會信任該證書。 此情況通常發生在企業發出的 CA。 如要建立信任,請使用證書部署一節中所描述的方式。 這會在部署的證書中設定信任來源。 針對多重層級的公用密鑰基礎設施,可能不只需要與根證書建立信任,也需要與證書鏈中的任何中繼證書建立信任。 通常企業信任會在單一設定描述檔中進行設定,其可視需要以你的流動裝置管理(MDM)解決方案進行更新,而不會影響裝置上的其他服務。
iPhone、iPad 和 Apple Vision Pro 上的根證書
在未透過描述檔監管的 iPhone、iPad 和 Apple Vision Pro 上手動安裝的根證書會顯示以下警告:「安裝『證書名稱』將把證書加入 iPhone 或 iPad 上受信任的證書列表。」 此證書將不會為網站信任,直到你啟用「證書信任設定」。
用户隨後可以在裝置上前往「設定」>「一般」>「關於本機」>「證書信任設定」中信任證書。
附註:透過 MDM 解決方案安裝或未監管裝置上的根證書會停用更改信任設定的選項。
Mac 上的根證書
透過設定描述檔手動安裝的證書必須透過執行額外動作執行才能完成安裝。 加入描述檔後,用户可導覽至「設定」>「一般」>「描述檔」並選擇「已下載」下方的描述檔。
然後用户可以檢視詳細資料、取消,或者按一下「安裝」來繼續。 用户可能需要提供本機管理員用户名稱和密碼。
附註:在 macOS 13 或較新版本中,透過設定描述檔手動安裝的根證書預設不會對 TLS 標示為信任。 如有需要,「鑰匙圈存取」App 可用來啟用 TLS 信任。 透過 MDM 解決方案安裝或未監管裝置上的根證書會停用更改信任設定的選項,並會受信任可配搭 TLS 使用。
Mac 上的中繼證書
中繼證書是由證書授權管理中心的根證書發出和簽署,它們可在 Mac 上使用「鑰匙圈存取」App 來管理。 這些中繼證書的到期日會比大部份根證書短,而且會被機構用來讓網頁瀏覽器信任與中繼證書相關的網站。 用户可以透過檢視「鑰匙圈存取」中的「系統鑰匙圈」來尋找已過期的中繼證書。
Mac 上的 S/MIME 證書
如果用户將任何 S/MIME 證書從鑰匙圈刪除,用户就無法再讀取使用那些證書加密的舊有電郵。