Réglages de l’entité de GAM Environnement automatisé de gestion des certificats (ACME) pour les appareils Apple
Vous pouvez configurer l’entité Certificat ACME pour obtenir les certificats auprès d’une autorité de certification pour les appareils Apple inscrits à une solution de gestion des appareils mobiles (GAM). ACME est l’alternative moderne au protocole SCEP. Il s’agit d’un protocole pour demander et installe des certificats. L’utilisation du protocole ACME est requise pour l’attestation des appareils gérés.
L’entité Certificat ACME prend en charge les éléments ci-après. Pour plus d’informations, consultez Informations sur l’entité.
Identifiant de l’entité prise en charge : com.apple.security.acme
Systèmes d’exploitation et canaux pris en charge : iOS, iPadOS, iPad partagé, appareil sous macOS, utilisateur de macOS, tvOS, watchOS 10 et visionOS 1.1.
Types d’inscription compatibles : L’inscription d’utilisateurs, l’inscription d’appareils et l’inscription automatisée des appareils.
Doublons autorisés : True : plus d’une entité Certificat ACME peut être distribuée à un appareil.
Vous pouvez utiliser les réglages du tableau ci-dessous avec l’entité Certificat ACME.
Réglage | Description | Obligatoire | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Identifiant du client | Une chaîne unique identifiant un appareil spécifique. Le serveur peut l’utiliser comme valeur antirépétition pour empêcher l’émission de plusieurs certificats. Cet identifiant indique également au serveur ACME que l’appareil a accès à un identifiant client valide émis par l’infrastructure de l’entreprise. Ainsi, le serveur ACME peut déterminer s’il doit faire confiance à l’appareil. Il s’agit d’une indication relativement faible en raison du risque qu’un attaquant puisse intercepter l’identifiant du client. | Oui | |||||||||
URL | L’adresse du serveur ACME, y compris https://. | Oui | |||||||||
Utilisation de la clé étendue | La valeur est un tableau de chaînes. Chaque chaîne est un OID en notation pointillée. Par exemple, [« 1.3.6.1.5.5.7.3.2 », « 1.3.6.1.5.5.7.3.4 »] indique l’authentification du client et la protection du courriel. | Non | |||||||||
Lié au matériel | Si elle est ajoutée, la clé privée est liée à l’appareil. Le Secure Enclave génère la paire de clés et la clé privée est entremêlée par chiffrement avec une clé système. Le système ne peut donc pas exporter la clé privée. Si elle est ajoutée, le type de clé doit être ECSECPrimeRandom et la taille de clé doit être 256 ou 384. | Oui | |||||||||
Type de clé | Le type de paire de clés à générer :
| Oui | |||||||||
Taille de clé | Les valeurs valides pour la taille de clé dépendent des valeurs de type de clé et de lien au matériel. | Oui | |||||||||
Objet | L’appareil demande cet objet pour le certificat que le serveur ACME émet. Le serveur ACME peut remplacer ou ignorer ce champ dans le certificat qu’il émet. La représentation d’un nom X.500 sous la forme d’un tableau d’OID et de valeur. Par exemple, /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, qui se traduit par : [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | Non | |||||||||
Type du nom alternatif du sujet | Indiquez le type de nom alternatif du sujet pour le serveur ACME. Les types de noms sont RFC 822, DNS, et URI (Uniform Resource Identifier). Cela peut être l’URL (Uniform Resource Locator), l’URN (Uniform Resource Name), ou les deux. | Non | |||||||||
Drapeaux d’utilisation | Cette valeur est un champ binaire. Le bit 0x01 indique une signature numérique. Le bit 0x10 indique un agrément de clé. L’appareil demande cette clé pour le certificat que le serveur ACME émet. Le serveur ACME peut remplacer ou ignorer ce champ dans le certificat qu’il émet. | Non | |||||||||
Attester | Si « true », l’appareil fournit des attestations qui décrivent l’appareil et la clé générée au serveur ACME. Le serveur peut utiliser les attestations comme preuve solide que la clé est liée à l’appareil et que cet appareil possède des propriétés mentionnées dans l’attestation. Le serveur peut se servir de cette information comme indice de confiance pour décider d’émettre ou non le certificat demandé. Lorsque le réglage « Attester » réglé à « true », le réglage « Lié au matériel » doit aussi être « true ». | Non | |||||||||
Remarque : Chaque fournisseur de GAM met en œuvre ces réglages différemment. Pour découvrir comment les différents réglages du certificat ACME sont appliqués à vos appareils, consultez la documentation de votre fournisseur de GAM.