Verteilen von Zertifikaten Apps auf Apple-Geräten
Du kannst Zertifikate manuell an iPhone-, iPad- und Apple Vision Pro-Geräte verteilen. Beim Empfang eines Zertifikats können die Benutzer durch Tippen den Inhalt anzeigen und lesen und danach durch nochmaliges Tippen das Zertifikat zum Gerät hinzufügen. Wenn ein Identitätszertifikat installiert wird, werden die Benutzer zur Eingabe des Passworts aufgefordert, das als Schutz der Identität dient. Kann die Authentizität eines Zertifikats nicht überprüft werden, wird es als nicht vertrauenswürdig angezeigt. Der Benutzer kann dann entscheiden, ob er es dennoch zum Gerät hinzufügen möchte.
Du kannst Zertifikate manuell an Mac-Computer verteilen. Wenn Benutzer ein Zertifikat empfangen, müssen sie es nur durch Doppelklicken auswählen, um den Schlüsselbund zu öffnen und den Inhalt zu prüfen. Entspricht das Zertifikat den Erwartungen, können Benutzer den gewünschten Schlüsselbund auswählen und auf die Taste „Hinzufügen“ klicken. Die meisten Benutzerzertifikate müssen im Anmeldeschlüsselbund installiert werden. Wenn ein Identitätszertifikat installiert wird, werden die Benutzer zur Eingabe des Passworts aufgefordert, das als Schutz der Identität dient. Kann die Authentizität eines Zertifikats nicht überprüft werden, wird es als nicht vertrauenswürdig angezeigt. Der Benutzer kann dann entscheiden, ob er es dennoch zum Mac hinzufügen möchte.
Bestimmte Zertifikatsidentitäten können auf Mac-Computern automatisch erneuert werden.
Methoden für die Implementierung von Zertifikaten mit MDM-Payloads
Die folgende Tabelle enthält die verschiedenen Payloads für die Implementierung von Zertifikaten mit Konfigurationsprofilen. Dazu gehören die Payloads „Active Directory-Zertifikat“, „Zertifikat“ (für ein PKCS #12-Identitätszertifikat), „Automated Certificate Management Environment (ACME)“ und „Simple Certificate Enrollment Protocol (SCEP)“.
Payload | Unterstützte Betriebssysteme und Kanäle | Beschreibung | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Payload „Active Directory-Zertifikat“ | macOS-Gerät macOS-Benutzer | Durch Konfigurieren der Payload „Active Directory-Zertifikat“ sendet macOS per Remote Procedure Call (RPC) eine Anfrage zur Zertifikatsignierung (Certificate Signing Request, CSR) direkt an den Server für Active Directory-Zertifikatdienste der Zertifizierungsstelle. Maschinenidentitäten können mit den Anmeldedaten der Mac-Computer in Active Directory registriert werden. Benutzer können ihre Anmeldedaten als Teil der Registrierung eingeben, um einzelne Identitäten bereitzustellen. Mit dieser Payload haben Administratoren zusätzliche Steuerungsmöglichkeiten für die Verwendung privater Schlüssel und die Zertifikatvorlage für die Registrierung. Wie mit SCEP verbleibt der private Schlüssel auf dem Gerät. | |||||||||
Payload „ACME“ | iOS iPadOS Geteiltes iPad-Gerät macOS-Gerät macOS-Benutzer tvOS watchOS 10 visionOS 1.1 | Das Gerät ruft Zertifikate für in einer MDM-Lösung registrierte Apple-Geräte von einer Zertifizierungsstelle ab. Mit dieser Technik verbleibt der private Schlüssel ausschließlich auf dem Gerät und kann optional an die Gerätehardware gebunden werden. | |||||||||
Payload „Zertifikate“ (für PKCS #12-Identitätszertifikate) | iOS iPadOS Geteiltes iPad-Gerät macOS-Gerät macOS-Benutzer tvOS watchOS 10 visionOS 1.1 | Wenn die Identität außerhalb des Geräts im Namen des Benutzers oder Geräts bereitgestellt wird, kann sie in eine PKCS #12-Datei (.p12 oder .pfx) gepackt und mit einem Passwort geschützt werden. Enthält die Payload ein Passwort, kann die Identität installiert werden, ohne dass sie vom Benutzer angefordert wird. | |||||||||
Payload „SCEP“ | iOS iPadOS Geteiltes iPad-Gerät macOS-Gerät macOS-Benutzer tvOS watchOS 10 visionOS 1.1 | Das Gerät platziert die Zertifikatsignierungsanfrage direkt an einen Registrierungsserver. Bei dieser Methode verbleibt nur der private Schlüssel auf dem Gerät. | |||||||||
Damit Dienste mit einer bestimmten Identität zugeordnet werden, kannst du eine ACME-, SCEP- oder Zertifikat-Payload konfigurieren und dann den gewünschten Dienst im selben Konfigurationsprofil einrichten. Beispielsweise kann eine SCEP-Payload konfiguriert werden, um eine Identität für ein Gerät bereitzustellen. Dabei kann in demselben Konfigurationsprofil eine WLAN-Payload für WPA2 Enterprise/EAP-TLS konfiguriert und das aus der SCEP-Registrierung für die Authentifizierung resultierende Zertifikat verwendet werden.
Um einen Dienst mit einer bestimmten Identität in macOS zuzuordnen, muss eine Payload „Active Directory-Zertifikat“, „ACME“, „SCEP“ oder „Zertifikate“ und danach innerhalb desselben Konfigurationsprofils der gewünschte Dienst konfiguriert werden. Beispielsweise kann eine Payload „Active Directory-Zertifikat“ konfiguriert werden, um die Identität für ein Gerät bereitzustellen. Dabei kann in demselben Konfigurationsprofil eine Payload „WLAN“ für WPA2 Enterprise/EAP-TLS konfiguriert und das aus der „Active Directory-Zertifikat“-Registrierung für die Authentifizierung resultierende Zertifikat verwendet werden.
Von Konfigurationsprofilen installierte Zertifikate erneuern
Mit einer MDM-Lösung implementierte Zertifikate sollte vor ihrem Ablauf erneuert werden, um den fortlaufenden Zugriff auf Dienste zu gewährleisten. Dazu können MDM-Lösungen die installierten Zertifikate abfragen, das Ablaufdatum prüfen und ein neues Profil oder eine neue Konfiguration im Voraus ausstellen.
Das Standardverhalten für Active Directory-Zertifikate in macOS 13 (oder neuer) ist automatische Erneuerung, wenn die Zertifikatsidentitäten als Teil eines Geräteprofils implementiert werden. Administratoren können eine Systemeinstellung festlegen, um dieses Verhalten zu ändern. Weitere Informationen findest du im Apple Support-Artikel Automatische Erneuerung von über ein Konfigurationsprofil bereitgestellten Zertifikaten.
Zertifikate mit Mail oder Safari installieren
Du kannst ein Zertifikat als Anhang einer E-Mail senden oder ein Zertifikat auf einer sicheren Website bereitstellen, von der Benutzer dieses Zertifikat auf ihre Apple-Geräte laden können.
Entfernen und Annullieren von Zertifikaten
Eine MDM-Lösung kann alle Zertifikate auf einem Gerät anzeigen und beliebige darauf installierte Zertifikate entfernen.
Zusätzlich wird OCSP (Online Certificate Status Protocol) unterstützt, um den Status von Zertifikaten zu überprüfen. Wenn ein OCSP-fähiges Zertifikat verwendet wird, wird es von iOS, iPadOS, macOS und visionOS periodisch geprüft um sicherzustellen, dass es nicht annulliert wurde.
Informationen zum Widerrufen von Zertifikaten mit einem Konfigurationsprofil findest du unter Einstellungen der Payload „Zertifikatswiderrufung“.
Wähle zum manuellen Entfernen eines in iOS, iPadOS und visionOS 1.1 (oder neuer) installierten Zertifikats „Einstellungen“ > „Allgemein“ > „Geräteverwaltung“. Wähle ein Profil aus, tippe auf „Mehr Details“ und danach auf das Zertifikat, um es zu entfernen. Wenn du ein Zertifikat entfernst, das für den Zugriff auf einen Account oder ein Netzwerk benötigt wird, kann das iPhone, iPad oder die Apple Vision Pro nicht mehr auf die jeweiligen Dienste zugreifen.
Zum manuellen Entfernen eines installierten Zertifikats in macOS musst du die App „Schlüsselbundverwaltung“ starten und nach dem gewünschten Zertifikat suchen. Wähle das Zertifikat aus und lösche es aus dem Schlüsselbund. Wenn du ein Zertifikat entfernst, das für den Zugriff auf einen Account oder ein Netzwerk benötigt wird, kann der Mac-Computer nicht mehr auf die jeweiligen Dienste zugreifen.