Réglages des données utiles MDM ACME (Automated Certificate Management Environment) pour les appareils Apple
Vous pouvez configurer les données utiles « Certificat ACME » afin d’obtenir des certificats auprès d’une autorité de certification (AC) pour les appareils Apple inscrits à une solution de gestion des appareils mobiles (MDM). L’ACME est une alternative moderne au SCEP. Il s’agit d’un protocole permettant de demander et d’installer des certificats. Le protocole ACME est requis lors de l’utilisation de la fonctionnalité « Attestation d’appareil géré ».
Les données utiles « Certificat ACME » prennent en charge ce qui suit. Pour plus d’informations, consultez la section Informations relatives aux données utiles.
Identifiant des données utiles pris en charge : com.apple.security.acme
Systèmes d’exploitation et canaux pris en charge : iOS, iPadOS, appareil iPad partagé, appareil macOS, utilisateur macOS, tvOS, watchOS 10, visionOS 1.1.
Types d’inscriptions prises en charge : Inscription d’utilisateurs, Inscription d’appareils, Inscription automatisée d’appareils.
Doublons autorisés : Vrai, plusieurs ensembles de données utiles « Certificat ACME » peuvent être fournis à un appareil.
Vous pouvez utiliser les réglages du tableau ci-dessous avec les données utiles « Certificat ACME ».
Réglage | Description | Requis | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Identifiant de client | Une chaîne unique identifiant un appareil particulier. Le serveur peut l’utiliser comme une valeur anti-réexécution pour éviter l’émission de plusieurs certificats. Cet identifiant indique également au serveur ACME que l’appareil a accès à un identifiant de client valide émis par l’infrastructure de l’entreprise. Cela peut aider le serveur ACME à déterminer s’il doit faire confiance à l’appareil. Il s’agit cependant d’une indication relativement faible en raison du risque qu’un attaquant puisse intercepter l’identifiant de client. | Oui | |||||||||
URL | L’adresse du serveur ACME, comprenant https://. | Oui | |||||||||
Utilisation de clé étendue | La valeur est un tableau de chaînes. Chaque chaîne est un identifiant d’objet en notation à points. Par exemple, [”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] indique l’authentification du client et la protection des e-mails. | Non | |||||||||
Lié au matériel | Si elle est ajoutée, la clé privée est liée à l’appareil. Secure Enclave génère la bi-clé, et la clé privée est cryptographiquement liée à une clé système. Cela empêche le système d’exporter la clé privée. En cas d’ajout, le type de clé doit être ECSECPrimeRandom et sa dimension doit être 256 ou 384. | Oui | |||||||||
Type de clé | Le type de bi-clé à générer :
| Oui | |||||||||
Dimension de clé | Les valeurs valides pour la dimension de la clé dépendent des valeurs du type de clé et de sa liaison avec le matériel. | Oui | |||||||||
Objet | L’appareil requiert cet objet pour le certificat que le serveur ACME émet. Le serveur ACME peut remplacer ou ignorer ce champ dans le certificat qu’il émet. La représentation d’un nom X.500 représenté en tant que matrice OID et valeur. Par exemple, /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, qui se traduit comme suit : [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | Non | |||||||||
Type de nom alternatif du sujet | Précisez le type d’un nom alternatif pour le serveur ACME. Les types disponibles sont Nom RFC 822, Nom DNS et URI (Uniform Resource Identifier). Il peut s’agir de l’URL (Uniform Resource Locator), de l’URN (Uniform Resource Name) ou des deux. | Non | |||||||||
Indicateurs d’utilisation | Cette valeur est un champ bit. Bit 0x01 indique une signature numérique. Bit 0x10 indique un accord de la clé. L’appareil requiert cette clé pour le certificat que le serveur ACME émet. Le serveur ACME peut remplacer ou ignorer ce champ dans le certificat qu’il émet. | Non | |||||||||
Attester | Si vrai, lʼappareil fournit des attestations décrivant lʼappareil et la clé générée au serveur ACME. Le serveur peut utiliser les attestations comme preuves fiables que la clé est liée à lʼappareil et que lʼappareil possède les propriétés indiquées dans lʼattestation. Le serveur peut lʼutiliser dans le cadre dʼun indice de confiance pour décider ou non de créer le certificat requis. Lorsque Attester est vrai, HardwareBound doit également être vrai. | Non | |||||||||
Remarque : chaque fournisseur de solution MDM met en œuvre ces réglages de sa propre façon. Pour découvrir comment les différents réglages « Certificat ACME » sont appliqués à vos appareils, consultez la documentation de votre fournisseur de solution MDM.