Ρυθμίσεις φορτίου MDM «Περιβάλλον αυτοματοποιημένης διαχείρισης πιστοποιητικών (ACME)» για συσκευές Apple
Μπορείτε να διαμορφώσετε το φορτίο «Πιστοποιητικό ACME» για λήψη πιστοποιητικών από μια αρχή έκδοσης πιστοποιητικών (CA) για συσκευές Apple που έχουν εγγραφεί σε μια λύση MDM (Διαχείριση φορητών συσκευών). Το ACME είναι μια σύγχρονη εναλλακτική του SCEP. Είναι ένα πρωτόκολλο για αίτημα και εγκατάσταση πιστοποιητικών. Η χρήση του ACME απαιτείται κατά τη χρήση της Πιστοποίησης διαχειριζόμενης συσκευής.
Το φορτίο «Πιστοποιητικό ACME» υποστηρίζει τα εξής. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Πληροφορίες φορτίου.
Υποστηριζόμενο αναγνωριστικό φορτίου: com.apple.security.acme
Υποστηριζόμενα λειτουργικά συστήματα και κανάλια: iOS, iPadOS, συσκευή Κοινόχρηστου iPad, συσκευή macOS, χρήστης macOS, tvOS, watchOS 10, visionOS 1.1.
Υποστηριζόμενοι τύποι εγγραφής: Εγγραφή χρήστη, Εγγραφή συσκευής, Αυτοματοποιημένη εγγραφή συσκευής.
Επιτρέπονται διπλότυπα: Αληθής – περισσότερα από ένα φορτία «Πιστοποιητικό ACME» μπορούν να παραδοθούν σε μια συσκευή.
Μπορείτε να χρησιμοποιήσετε τις ρυθμίσεις στον παρακάτω πίνακα με το φορτίο «Πιστοποιητικό ACME».
Ρύθμιση | Περιγραφή | Απαιτείται | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Αναγνωριστικό πελάτη | Μια μοναδική συμβολοσειρά που προσδιορίζει μια συγκεκριμένη συσκευή. Ο διακομιστής μπορεί να τη χρησιμοποιήσει ως τιμή κατά της επανάληψης για να αποτρέψει την έκδοση πολλών πιστοποιητικών. Αυτό το αναγνωριστικό υποδεικνύει επίσης στον διακομιστή ACME ότι η συσκευή έχει πρόσβαση σε ένα έγκυρο αναγνωριστικό πελάτη που έχει εκδοθεί από την εταιρική υποδομή. Αυτό μπορεί να βοηθήσει τον διακομιστή ACME να καθορίσει αν θα θεωρείται αξιόπιστη η συσκευή. Ωστόσο, αυτή είναι μια σχετικά ασθενής ένδειξη επειδή υπάρχει ο κίνδυνος υποκλοπής του αναγνωριστικού πελάτη από έναν εισβολέα. | Ναι | |||||||||
URL | Η διεύθυνση του διακομιστή ACME, συμπεριλαμβανομένου του https://. | Ναι | |||||||||
Εκτεταμένη χρήση κλειδιού | Η τιμή είναι μια συστοιχία συμβολοσειρών. Κάθε συμβολοσειρά είναι ένα OID σε εστιγμένη σημειογραφία. Για παράδειγμα, το [”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] υποδεικνύει έλεγχο ταυτότητας πελάτη και προστασία email. | Όχι | |||||||||
HardwareBound | Αν προστεθεί, το ιδιωτικό κλειδί συνδέεται με τη συσκευή. Το Secure Enclave παράγει το ζεύγος κλειδιών, και το ιδιωτικό κλειδί κρυπτογραφείται σε συνδυασμό με ένα κλειδί συστήματος. Αυτό αποτρέπει την εξαγωγή του ιδιωτικού κλειδιού από το σύστημα. Αν προστεθεί, το KeyType πρέπει να είναι ECSECPrimeRandom και το KeySize πρέπει να είναι 256 ή 384.) | Ναι | |||||||||
Key type | Ο τύπος ζεύγους κλειδιών που θα παραχθεί:
| Ναι | |||||||||
Key size | Οι έγκυρες τιμές για το KeySize εξαρτώνται από τις τιμές των KeyType και HardwareBound. | Ναι | |||||||||
Subject | Η συσκευή ζητά αυτό το θέμα για το πιστοποιητικό που εκδίδει ο διακομιστής ACME. Ο διακομιστής ACME μπορεί να παρακάμψει ή να αγνοήσει αυτό το πεδίο στο πιστοποιητικό που εκδίδει. Η αναπαράσταση ενός ονόματος X.500 που απεικονίζεται ως συστοιχία OID και τιμής. Για παράδειγμα, /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, το οποίο μεταφράζεται σε: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | Όχι | |||||||||
Subject Alternative Name Type | Καθορίστε τον τύπο του εναλλακτικού ονόματος για τον διακομιστή ACME. Οι τύποι είναι Όνομα RFC 822, Όνομα DNS και Uniform Resource Identifier (URI). Αυτό μπορεί να είναι Uniform Resource Locator (URL), Uniform Resource Name (URN) ή και τα δύο. | Όχι | |||||||||
Usage Flags | Αυτή η τιμή είναι πεδίο bit. Το bit 0x01 υποδεικνύει ψηφιακή υπογραφή. Το bit 0x10 υποδεικνύει συμφωνητικό κλειδιού. Η συσκευή ζητά αυτό το κλειδί για το πιστοποιητικό που εκδίδει ο διακομιστής ACME. Ο διακομιστής ACME μπορεί να παρακάμψει ή να αγνοήσει αυτό το πεδίο στο πιστοποιητικό που εκδίδει. | Όχι | |||||||||
Attest | Αν είναι αληθές, η συσκευή παρέχει βεβαιώσεις που περιγράφουν τη συσκευή και το παραγόμενο κλειδί στον διακομιστή ACME. Ο διακομιστής μπορεί να χρησιμοποιήσει τις βεβαιώσεις ως ισχυρή ένδειξη ότι το κλειδί είναι δεσμευμένο στη συσκευή και ότι η συσκευή έχει ιδιότητες που παρατίθενται στη βεβαίωση. Ο διακομιστής μπορεί να το χρησιμοποιήσει ως μέρος μιας βαθμολογίας εμπιστοσύνης για να αποφασίσει αν θα εκδόσει το πιστοποιητικό που έχει ζητηθεί. Όταν η τιμή Attest είναι αληθής, η τιμή HardwareBound πρέπει να είναι επίσης αληθής. | Όχι | |||||||||
Σημείωση: Κάθε προμηθευτής MDM υλοποιεί αυτές τις ρυθμίσεις με διαφορετικό τρόπο. Για να μάθετε πώς εφαρμόζονται διάφορες ρυθμίσεις Πιστοποιητικού ACME στις συσκευές σας, συμβουλευτείτε το πληροφοριακό υλικό του προμηθευτή MDM σας.