Instellingen voor de MDM-payload 'Certificaten' voor Apple apparaten
Je kunt certificaatinstellingen configureren op iPhones, iPads, Macs en Apple TV's die bij een MDM-oplossing (Mobile Device Management) zijn ingeschreven. Met de payloads 'Certificaten' kun je certificaten en een identiteit aan het apparaat toevoegen.
De payloads 'Certificaten' ondersteunen het volgende. Zie Payloadinformatie voor meer informatie.
Ondersteunde payload-ID's: com.apple.security.pem, com.apple.security.pem1, com.apple.security.pem12, com.apple.security.root
Ondersteunde besturingssystemen en kanalen: iOS, iPadOS, gedeelde iPad, macOS-apparaat, macOS-gebruiker, tvOS, watchOS 10, visionOS 1.1.
Ondersteunde inschrijvingstypen: gebruikersinschrijving, apparaatinschrijving, automatische apparaatinschrijving.
Duplicaten toegestaan: Waar: Er kunnen meerdere payloads 'Certificaten' worden aangeboden aan een gebruiker of apparaat.
De instellingen in de onderstaande tabel kunnen worden gebruikt met de payloads 'Certificaten'.
Instelling | Beschrijving | Vereist | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Naam certificaat | De weergegeven naam van het certificaat. | Ja | |||||||||
Certificaat- of identiteitsgegevens | iPhones, iPads, Macs en Apple TV's kunnen gebruikmaken van X.509-certificaten met RSA-sleutels. De volgende structuren en bestandsextensies worden herkend:
PKCS #12-bestanden bevatten tevens de private sleutel en één identiteit. Ter bescherming van de private sleutel zijn PKCS #12-bestanden versleuteld met een wachtzin. | Ja | |||||||||
Wachtzin | Een wachtzin voor de beveiliging van de inloggegevens. | Nee | |||||||||
Opmerking: Elke MDM-leverancier implementeert deze instellingen op een andere manier. Als je wilt weten hoe de instellingen voor de payload 'Certificaten' op je apparaten en gebruikers worden toegepast, raadpleeg je de documentatie van je MDM-leverancier.
Bij het toevoegen van een certificaat of identiteit
Wanneer je een rootcertificaat installeert, kan het zijn dat je ook de intermediaire certificaten moet installeren die nodig zijn om een keten te vormen naar een vertrouwd certificaat op het apparaat. Dit kan van belang zijn voor technologieën als 802.1X. Zie het Apple Support-artikel Lijst van beschikbare vertrouwde rootcertificaten in iOS 17, iPadOS 17, macOS 14, tvOS 17 en watchOS 10 voor een lijst met vooraf geïnstalleerde roots voor Apple apparaten.
Als het certificaat of de identiteit die je wilt installeren zich in de sleutelhanger bevindt, gebruik je Sleutelhangertoegang om het onderdeel met de PKCS #12-structuur (.p12) te exporteren. Sleutelhangertoegang kun je vinden in /Apps/Hulpprogramma's/. Zie de Gebruikershandleiding Sleutelhangertoegang voor meer informatie.
Om een identiteit toe te voegen voor gebruik met Microsoft Exchange of Exchange ActiveSync, eenmalige aanmelding, VPN en netwerk of wifi, moet je die specifieke payload gebruiken.
Als je bij de implementatie van een PKCS #12-bestand (.p12 of .pfx) de wachtzin voor de certificaatidentiteit weglaat, wordt gebruikers tijdens de installatie van het profiel gevraagd de wachtzin in te voeren. De inhoud van de payload wordt onleesbaar gemaakt, maar niet versleuteld. Als je de wachtzin toevoegt, moet je erop letten dat het profiel alleen voor bevoegde gebruikers beschikbaar is.
In plaats van een certificaat te installeren met een configuratieprofiel, kun je gebruikers het certificaat ook met Safari naar hun apparaat laten downloaden vanaf een webpagina die dat certificaat gebruikt (plaats het certificaat niet op een host). Je kunt certificaten ook via e‑mail naar gebruikers versturen. Bovendien kun je via instellingen voor de MDM-payload 'SCEP' (Simple Certificate Enrollment Protocol) opgeven hoe certificaten naar het apparaat worden overgebracht wanneer het profiel wordt geïnstalleerd.
Vertrouwde certificaten
Een certificaat wordt in de volgende gevallen automatisch volledig vertrouwd:
Geïnstalleerd via een exemplaar van Apple Configurator dat dezelfde toezichtidentiteit heeft als het apparaat
Automatisch geïnstalleerd vanuit een ondersteunde MDM-oplossing
Handmatig geïnstalleerd via een payload die is gekoppeld aan een inschrijvingsprofiel uit een ondersteunde MDM-oplossing
Het wordt aangeraden om te voorkomen dat gebruikers certificaten handmatig moeten installeren. Neem de payload 'Certificaten' daarom op in het MDM-inschrijvingsprofiel, zodat het certificaat niet handmatig hoeft te worden vertrouwd.