Параметри набору даних MDM Certificates для пристроїв Apple
Ви можете конфігурувати параметри сертифікатів на пристроях iPhone, iPad, Mac і Apple TV, які зареєстровано в рішенні керування мобільними пристроями (MDM). За допомогою наборів даних Certificates (Сертифікати) ви можете додати на пристрій сертифікати та посвідчення.
Набори даних Certificates (Сертифікати) підтримують таке. Докладну інформацію наведено в статті Інформація набору даних.
Підтримувані ідентифікатори набору даних: com.apple.security.pem, com.apple.security.pem1, com.apple.security.pem12, com.apple.security.root
Підтримувані операційні системи та канали: iOS, iPadOS, спільний iPad, пристрій macOS, користувач macOS, tvOS, watchOS 10, visionOS 1.1.
Підтримувані типи реєстрації: реєстрація користувача, реєстрація пристрою та автоматизована реєстрація пристрою.
Дублікати дозволено: Так — користувачеві або пристрою може бути доставлено більш ніж один набір даних Certificates (Сертифікати).
З наборами даних Certificates (Сертифікати) можна використовувати параметри, наведені в таблиці нижче.
Параметр | Опис | Обов’язково | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Certificate name (Назва сертифіката) | Відображувана назва сертифіката. | Так | |||||||||
Certificate or identity data (Дані сертифіката чи посвідчення) | Пристрої iPhone, iPad, Mac і Apple TV можуть використовувати сертифікати X.509 із ключами RSA. Підтримувані формати файлів і розширення файлів:
Файли PKCS #12 також містять приватний ключ і точно одне посвідчення. Для захисту приватного ключа файли PKCS #12 шифруються за допомогою пароля. | Так | |||||||||
Passphrase (Парольна фраза) | Пароль для захисту облікових даних. | Ні | |||||||||
Примітка. Кожен постачальник MDM реалізує ці параметри по-різному. Щоб дізнатися, як різні параметри Certificates (Сертифікати) застосовуються до ваших пристроїв і користувачів, зверніться до документації постачальника MDM.
Коли додається сертифікат або посвідчення
Після інсталяції кореневого сертифіката ви також можете інсталювати проміжні сертифікати, щоб створити ланцюжок для надійного сертифіката на пристрої. Це може бути важливим для таких технологій, як 802.1X. Щоб переглянути список кореневих сертифікатів, попередньо інстальованих на пристроях Apple, ознайомтеся зі статтею служби підтримки Apple Список доступних довірених кореневих сертифікатів в iOS 17, iPadOS 17, macOS 14, tvOS 17 і watchOS 10.
Якщо сертифікат або посвідчення, яке ви хочете інсталювати, знаходиться у вашій в’язці, експортуйте цей елемент у форматі PKCS #12 .p12 за допомогою програми «Ключар». Ключар розташований у папці /Програми/Утиліти/. Більше інформації наведено в посібнику користувача програми «Ключар».
Щоб додати посвідчення, яке використовується для сервера Microsoft Exchange або Exchange ActiveSync, єдиного входу, VPN-з’єднання, мережевого з’єднання або Wi-Fi, використовуйте відповідний набір даних.
Якщо під час розгортання файлу PKCS #12 (.p12 або .pfx) ви пропустите пароль сертифіката, користувачам буде запропоновано ввести цей пароль під час інсталяції профілю. Вміст набору даних приховується але не шифрується. Якщо ви вводите пароль, переконайтеся, що цей профіль доступний лише авторизованим користувачам.
Замість того, щоб інсталювати сертифікати за допомогою профілю конфігурації, ви можете дозволити користувачам викачувати їх через Safari на свій пристрій із вебсторінки, яка використовує цей сертифікат (власне сертифікат не слід розміщувати). Інший спосіб — надсилати сертифікати користувачам електронною поштою. Ви також можете використовувати параметри набору даних MDM протоколу Simple Certificate Enrollment Protocol (SCEP), щоб визначити, як пристрій з інстальованим профілем отримує сертифікати.
Довіра сертифіката
Сертифікат є повністю надійним автоматично, якщо його:
інстальовано примірником Apple Configurator із таким самим посвідченням нагляду, що й у пристрою;
автоматично інстальовано з підтримуваного рішення MDM;
інстальовано вручну набором даних, доданим до профілю реєстрації з підтримуваного рішення MDM.
Рекомендовано уникати інсталювання сертифікатів користувачами вручну. Слід помістити набір даних Certificates (Сертифікати) у профіль реєстрації MDM, що дасть змогу пропустити крок позначення вручну сертифіката надійним.