توزيع الشهادات على أجهزة Apple
يمكنك يدويًا توزيع الشهادات على أجهزة iPhone و iPad و Apple Vision Pro. عندما يستلم المستخدمون شهادة ما، يمكنهم الضغط عليها لمراجعة المحتويات، ثم الضغط لإضافة الشهادة إلى الجهاز. وعند تثبيت أي شهادة هوية، تتم مطالبة المستخدمين بإدخال كلمة السر التي تحميها. في حالة عدم إمكانية التحقق من أصالة الشهادة، يتم إظهارها على أنها غير موثوقة ويمكن للمستخدم أن يقرر ما إذا يريد إضافتها إلى الجهاز أم لا.
يمكنك توزيع الشهادات يدويًا على أجهزة كمبيوتر Mac. عندما يستلم المستخدمون الشهادة، يمكنهم النقر عليها مرتين لفتح الوصول إلى سلسلة المفاتيح ومراجعة المحتويات. إذا وافقت الشهادة التوقعات، يمكن للمستخدمين تحديد سلسلة المفاتيح المطلوبة والنقر على الزر إضافة. معظم شهادات المستخدم يتعين تثبيتها في سلسلة مفاتيح الدخول. وعند تثبيت أي شهادة هوية، تتم مطالبة المستخدمين بإدخال كلمة السر التي تحميها. في حالة عدم إمكانية التحقق من أصالة الشهادة، يتم إظهارها على أنها غير موثوقة، ويمكن للمستخدم أن يقرر ما إذا كان يريد إضافتها إلى Mac أم لا.
يمكن تجديد بعض هويات الشهادات تلقائيًا على أجهزة كمبيوتر Mac.
طرق نشر الشهادات باستخدام حمولات MDM
يوضح الجدول التالي الحمولات المختلفة لنشر الشهادات باستخدام ملفات تعريف التكوين. وتتضمن حمولة شهادة Active Directory، وحمولة الشهادة (لشهادة الهوية PKCS #12)، وحمولة بيئة إدارة الشهادات التلقائية (ACME)، وحمولة بروتوكول تسجيل الشهادات البسيطة (SCEP).
الحمولة | أنظمة التشغيل والقنوات المدعومة | Description | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
حمولة Active Directory Certificate | جهاز macOS مستخدم macOS | من خلال تكوين حمولة شهادة Active Directory، يقدم macOS طلب توقيع شهادة مباشرةً من خلال جهة إصدار شهادات على خادم خدمات شهادة Active Directory باستخدام استدعاء إجراء عن بُعد. ويمكنك تسجيل هويات الأجهزة باستخدام بيانات اعتماد كائن كمبيوتر Mac في Active Directory. ويمكن للمستخدمين توفير بيانات اعتمادهم كجزء من عملية التسجيل لتوفير الهويات الفردية. وباستخدام هذه الحمولة، يكون لدى المسؤولين تحكم إضافي في استخدام المفاتيح الخاصة وكذلك قالب الشهادة للتسجيل. وكما هو الحال مع SCEP، يظل المفتاح الخاص موجودًا بالجهاز. | |||||||||
حمولة ACME | iOS iPadOS جهاز iPad مشترك جهاز macOS مستخدم macOS tvOS watchOS 10 visionOS 1.1 | يحصل الجهاز على الشهادات من الجهة الموثقة لأجهزة Apple المسجلة في حل MDM. باستخدام هذه التقنية، يظل المفتاح الخاص موجودًا فقط على الجهاز ويمكن اختياريًا جعله جهازًا مرتبطًا بالجهاز. | |||||||||
حمولة Certificates (لشهادة الهوية PKCS #12) | iOS iPadOS جهاز iPad مشترك جهاز macOS مستخدم macOS tvOS watchOS 10 visionOS 1.1 | إذا كانت الهوية يتم توفيرها من الجهاز نيابةً عن المستخدم أو الجهاز، يمكن أن تكون معبأة في ملف PKCS #12 (.p12 أو .pfx) ومحمية بكلمة سر. وإذا كانت الحمولة تحتوي على كلمة السر، يمكن تثبيت الهوية دون مطالبة المستخدم بها. | |||||||||
حمولة SCEP | iOS iPadOS جهاز iPad مشترك جهاز macOS مستخدم macOS tvOS watchOS 10 visionOS 1.1 | يُرسل الجهاز طلب توقيع الشهادة مباشرة إلى خادم التسجيل. وباستخدام هذه التقنية، يبقى المفتاح الخاص على الجهاز فقط. | |||||||||
لربط خدمات بهوية معينة، قم بتكوين حمولة ACME أو SCEP أو حمولة شهادة، ثم قم بتكوين الخدمة المطلوبة في نفس ملف تعريف التكوين. على سبيل المثال، يمكن تكوين حمولة SCEP لتموين هوية للجهاز، وفي نفس ملف تعريف التكوين، يمكن تكوين حمولة Wi-Fi لـ WPA2 على مستوى المؤسسة/ EAP-TLS باستخدام شهادة الجهاز الناتجة عن تسجيل SCEP للمصادقة.
لربط الخدمات بهوية معينة في macOS، قم بتكوين حمولة شهادة Active Directory أو ACME أو SCEP أو شهادة، ثم قم بتكوين الخدمة المطلوبة في ملف تعريف التكوين نفسه. على سبيل المثال، يمكنك تكوين حمولة شهادة Active Directory لتوفير هوية للجهاز، وفي نفس ملف تعريف التكوين، يمكن تكوين حمولة Wi-Fi لـ WPA2 Enterprise EAP-TLS باستخدام شهادة الجهاز الناتجة عن تسجيل شهادة Active Directory للمصادقة.
تجديد الشهادات المثبتة بواسطة ملفات تعريف التكوين
لضمان استمرارية الوصول إلى الخدمة، يجب تجديد الشهادات المنشورة باستخدام حل MDM قبل انتهاء صلاحيتها. وللقيام بذلك، يمكن لحلول MDM الاستعلام عن الشهادات المثبتة وفحص تاريخ انتهاء الصلاحية وإصدار ملف تعريف أو تكوين ملف تعريف جديد في وقت مبكر.
بالنسبة إلى شهادات Active Directory، عندما يتم نشر هويات الشهادة كجزء من ملف تعريف الجهاز، يكون السلوك الافتراضي هو التجديد التلقائي في macOS 13 أو أحدث. يمكن للمسؤولين تعيين تفضيل نظام لتعديل هذا السلوك. لمزيد من المعلومات، راجع مقال دعم Apple تجديد الشهادات التي تم تسليمها عبر ملف تعريف التكوين تلقائيًا.
تثبيت الشهادات باستخدام البريد أو سفاري
يمكنك إرسال الشهادة كمرفق في رسالة بريد أو استضافة الشهادة على موقع ويب آمن يقوم المستخدمون بتنزيل الشهادة منه على أجهزة Apple الخاصة بهم.
إزالة الشهادات وإلغاؤها
يمكن من خلال حل إدارة جهاز الجوال عرض كل الشهادات على الجهاز وإزالة أي شهادات تم تثبيتها.
إضافةً إلى ذلك، يتم دعم بروتوكول حالة الشهادة على الإنترنت (OCSP) للتحقق من حالة الشهادات. عند استخدام شهادة تم تمكين OCSP لها، يتحقق كل من iOS و iPadOS و macOS و visionOS منها بصفة دورية للتأكد من عدم إلغائها.
لإلغاء الشهادات باستخدام ملف تعريف تكوين، انظر إعدادات حمولة MDM الخاصة بإلغاء الشهادة.
للإزالة اليدوية لشهادة تم تثبيتها في iOS و iPadOS و visionOS 1.1 أو أحدث، انتقل إلى الإعدادات > عام > إدارة الأجهزة، حدد ملف تعريف، اضغط على مزيد من التفاصيل، ثم اضغط على الشهادة لإزالتها. وإذا قمت بإزالة شهادة مطلوبة للوصول إلى حساب أو شبكة ما، فلن يتمكن iPhone أو iPad أو Apple Vision Pro بعد ذلك من الاتصال بهذه الخدمات.
للإزالة اليدوية لشهادة تم تثبيتها في macOS، شغّل تطبيق الوصول إلى سلسلة المفاتيح، ثم ابحث عن الشهادة. حدد هذه الشهادة، ثم احذفها من سلسلة المفاتيح. وإذا أزلت شهادة مطلوبة للوصول إلى حساب أو شبكة ما، فلن يتمكن Mac بعد ذلك من الاتصال بتلك الخدمات.