Apple 裝置的「憑證」承載資料設定
您可以替在行動裝置管理(MDM)解決方案中註冊的 iPhone、iPad、Mac 和 Apple TV 裝置配置「憑證」設定。使用「憑證」承載資料來將憑證和識別身分加入裝置。
作業系統與頻道 | 支援的註冊類型 | 互動 | 重複項目 |
|---|---|---|---|
iOS iPadOS tvOS macOS 裝置 macOS 使用者 | 使用者 裝置 自動化裝置 | 合併 | 多項 |
設定 | 說明 | 必要 |
|---|---|---|
憑證名稱 | 憑證的顯示名稱。 | 是 |
憑證或識別身分資料 | iPhone、iPad、Mac 和 Apple TV 裝置可以搭配 RSA 金鑰使用 X.509 憑證。格式和可辨識的副檔名為:
PKCS12 檔案也包含專用密鑰,並且只有一個識別身分。為了確實保護專用密鑰,PKCS12 檔案會使用密語加密。 | 是 |
密語 | 用以保護憑證安全的密語。 | 否 |
當您安裝根憑證時,您也可以安裝中繼憑證,以建立裝置上受信任憑證的憑證鏈。這對 802.1X 等技術相當重要。若要檢視 Apple 裝置預先安裝的根列表,請參閱 Apple 支援文章:
如果您想要安裝的憑證或識別身分位於「鑰匙圈」中,請使用「鑰匙圈存取」來以 .p12 格式輸出。「鑰匙圈存取」位於「/應用程式/工具程式」中。請參閱:鑰匙圈存取使用手冊。
若要加入識別身分來搭配 Microsoft Exchange 或 Exchange ActiveSync、單一登入、VPN 和網路或 Wi-Fi 使用,請使用專用的承載資料。
在部署 PKCS12 檔案時,若您省略憑證識別的密語,則使用者會在安裝描述檔時接收到輸入密語的要求。承載資料的內容是不易辨識的,但並未加密。若您包含密語,請確定只能由已授權的使用者取用描述檔。
除了使用設定描述檔來安裝憑證之外,您可以讓使用者透過 Safari 從使用該憑證的網頁下載憑證到裝置上(您不應該代管憑證)。或者,您可以透過郵件將憑證傳送給使用者。您也可以使用「簡單憑證註冊通訊協定」Apple 裝置的 SCEP 承載資料設定來指定安裝描述檔時,裝置取得憑證的方式。
防止手動信任憑證
如果憑證是透過「描述檔管理程式」的承載資料自動安裝,或使用 Apple Configurator 2 安裝,該憑證為完全可信任。如果憑證是透過描述檔手動安裝,而該描述檔也包含「描述檔管理程式」的註冊承載資料,則該憑證也為完全可信任。最佳作法為,憑證承載資料應位於 MDM 註冊描述檔中,以移除手動信任憑證的步驟。