Instellingen voor de MDM-payload 'Automated Certificate Management Environment (ACME)' voor Apple apparaten
Je kunt de payload 'ACME-certificaat' configureren voor het ontvangen van certificaten van een CA (certificaatautoriteit) voor Apple apparaten die bij een MDM-oplossing zijn ingeschreven. ACME is een modern alternatief voor SCEP. Het is een protocol voor het aanvragen en installeren van certificaten. ACME is vereist voor de attestatie van beheerde apparaten.
De payload 'ACME-certificaat' ondersteunt het volgende. Zie Payloadinformatie voor meer informatie.
ID ondersteunde payload: com.apple.security.acme
Ondersteunde besturingssystemen en kanalen: iOS, iPadOS, gedeelde iPad, macOS-apparaat, macOS-gebruiker, tvOS, watchOS 10, visionOS 1.1.
Ondersteunde inschrijvingstypen: gebruikersinschrijving, apparaatinschrijving, automatische apparaatinschrijving.
Duplicaten toegestaan: Waar: Er kunnen meerdere payloads 'ACME-certificaat' worden aangeboden aan een apparaat.
De instellingen in de onderstaande tabel kunnen worden gebruikt met de payload 'ACME-certificaat'.
Instelling | Beschrijving | Vereist | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Client-ID | Een unieke tekenreeks die een bepaald apparaat identificeert. De server kan deze als eenmalige waarde gebruiken om de uitgifte van meerdere certificaten te voorkomen. Deze ID geeft ook aan de ACME-server door dat het apparaat toegang heeft tot een geldige client-ID die door de bedrijfsinfrastructuur is uitgegeven. Dit kan de ACME-server helpen om te bepalen of het apparaat kan worden vertrouwd. Dit is echter wel een relatief zwakke indicatie vanwege het risico dat een aanvaller de client-ID kan onderscheppen. | Ja | |||||||||
URL | Het adres van de ACME-server, inclusief 'https://'. | Ja | |||||||||
Uitgebreid sleutelgebruik | De waarde bestaat uit een array van tekenreeksen. Elke tekenreeks is een OID in een door punten gescheiden notatie. Zo staat ["1.3.6.1.5.5.7.3.2", "1.3.6.1.5.5.7.3.4"] bijvoorbeeld voor clientauthenticatie en e‑mailbeveiliging. | Nee | |||||||||
HardwareBound | Als deze instelling is toegevoegd, wordt de private sleutel verbonden met het apparaat. De Secure Enclave genereert het sleutelpaar en de private sleutel wordt cryptografisch verstrengeld met een systeemsleutel. Dit voorkomt dat het systeem de private sleutel kan exporteren. Als deze instelling is toegevoegd, moet 'KeyType' de waarde 'ECSECPrimeRandom' hebben en 'KeySize' de waarde '256' of '384'. | Ja | |||||||||
Sleuteltype | Het type sleutelpaar dat moet worden gegenereerd:
| Ja | |||||||||
Sleutelgrootte | De geldige waarden voor 'KeySize' zijn afhankelijk van de waarden voor 'KeyType' en 'HardwareBound'. | Ja | |||||||||
Onderwerp | Het apparaat vraagt dit onderwerp op voor het certificaat dat door de ACME-server wordt uitgegeven. De ACME-server kan dit veld overschrijven of negeren in het uitgegeven certificaat. De X.500-naam, aangeduid als een matrix van een OID en een waarde. Bijvoorbeeld /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, wat resulteert in: [ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ [ "1.2.5.3", "bar" ] ] ] | Nee | |||||||||
Type alternatieve naam onderwerp | Geef het type van een alternatieve naam voor de ACME-server op. Mogelijke typen zijn 'RFC 822-naam', 'DNS-naam' en 'Uniform Resource Identifier' (URI). Dit kan de URL (Uniform Resource Locator), de URN (Uniform Resource Name) of beide zijn. | Nee | |||||||||
Gebruiksmarkeringen | Deze waarde is een bitveld. Bit 0x01 geeft een digitale handtekening aan. Bit 0x10 geeft een sleutelovereenkomst aan. Het apparaat vraagt deze sleutel op voor het certificaat dat door de ACME-server wordt uitgegeven. De ACME-server kan dit veld overschrijven of negeren in het uitgegeven certificaat. | Nee | |||||||||
Attest | Als deze optie is ingesteld op 'waar', verstrekt het apparaat attestaties met een beschrijving van het apparaat en de aangemaakte sleutel aan de ACME-server. De server kan de attestaties gebruiken als een zeer krachtige bevestiging dat de sleutel aan het apparaat gebonden is en dat het apparaat beschikt over de kenmerken die in de attestatie worden vermeld. De server kan dit als onderdeel van een vertrouwensscore gebruiken om te bepalen of het aangevraagde certificaat kan worden verstrekt. Wanneer 'Attest' de instelling 'waar' heeft, moet 'HardwareBound' ook 'waar' zijn. | Nee | |||||||||
Opmerking: Elke MDM-leverancier implementeert deze instellingen op een andere manier. Als je wilt weten hoe de instellingen voor de payload 'ACME-certificaat' op je apparaten worden toegepast, raadpleeg je de documentatie van je MDM-leverancier.