Položky nastavení MDM v datové části Automated Certificate Management Environment (ACME) pro zařízení Apple
Pro zařízení Apple zaregistrovaná ve službě správy mobilních zařízení (MDM) můžete nakonfigurovat datovou část ACME Certificate pro získávání certifikátů od certifikační autority (CA). Protokol ACME je moderní alternativou k protokolu SCEP. Jedná se o protokol pro vyžádání a instalaci certifikátů. Při použití atestace spravovaných zařízení je vyžadován protokol ACME.
Datová část ACME Certificate podporuje níže uvedené položky. Další informace najdete v části Informace o datových částech.
Podporovaný identifikátor datové části: com.apple.security.acme
Podporované operační systémy a kanály: Systémy iOS, iPadOS, sdílený iPad (zařízení), macOS zařízení, uživatel systému macOS, systémy tvOS, watchOS 10, visionOS 1.1
Podporované typy registrace: registrace uživatelů, registrace zařízení, automatická registrace zařízení.
Povolení duplikátů: Ano – do jednoho zařízení lze odeslat více datových částí ACME Certificate.
V datové části ACME Certificate lze použít položky nastavení uvedené v následující tabulce.
Nastavení | Popis | Povinná | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Client identifier | Identifikátor klienta – jedinečný řetězec identifikující konkrétní zařízení. Server jej může použít jako hodnotu ochrany proti zpětnému přehrání a bránit tak vícenásobnému vydávání certifikátů. Tento identifikátor navíc serveru ACME sdělí, že zařízení má přístup k platnému identifikátoru klienta vydanému v rámci podnikové infrastruktury. To může serveru ACME pomoci určit, zda má zařízení důvěřovat. Jedná se však o poměrně slabou indikaci, protože existuje riziko zachycení identifikátoru klienta útočníkem. | Ano | |||||||||
URL | Adresa serveru ACME, včetně https://. | Ano | |||||||||
Extended Key Usage | Rozšířené použití klíče – tato hodnota je pole řetězců. Každý řetězec má podobu identifikátoru OID v tečkované notaci. Příklad: [”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] označuje ověřování klienta a ochranu e-mailu. | Ne | |||||||||
HardwareBound | Pokud je přidána tato položka, je soukromý klíč vázán na zařízení. Modul Secure Enclave vygeneruje dvojici klíčů a soukromý klíč je kryptograficky provázán se systémovým klíčem. Tím se zabrání tomu, aby systém exportoval soukromý klíč. Pokud je položka přidána, musí mít KeyType hodnotu ECSECPrimeRandom a KeySize hodnotu 256 nebo 384.) | Ano | |||||||||
Key type | Typ páru klíčů, které se mají generovat:
| Ano | |||||||||
Key size | Platné hodnoty pro položku KeySize závisí na hodnotách KeyType a HardwareBound. | Ano | |||||||||
Subject | Zařízení požaduje tento subjekt pro certifikát, který vydává server ACME. Server ACME může toto pole ve vydaném certifikátu přepsat nebo ignorovat. Subjekt – reprezentace názvu X.500 v podobě pole tvořeného položkou OID a hodnotou. Příklad: /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, což lze přeložit jako: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | Ne | |||||||||
Subject Alternative Name Type | Určuje typ alternativního názvu pro server ACME. Typy jsou následující: název RFC 822, název DNS nebo identifikátor URI (Uniform Resource Identifier). Může se jednat o adresu URL (Uniform Resource Locator), název URN (Uniform Resource Name), nebo obojí. | Ne | |||||||||
Usage Flags | Hodnotou je bitové pole. Bit 0x01 označuje digitální podpis. Bit 0x10 označuje dohodu o klíči. Tento klíč zařízení požaduje pro certifikát, který vydává server ACME. Server ACME může toto pole ve vydaném certifikátu přepsat nebo ignorovat. | Ne | |||||||||
Attest | Pokud má tato položka hodnotu true, zařízení poskytuje serveru ACME atestace popisující samotné zařízení a vygenerovaný klíč. Server může tyto atestace využít jako silné důkazy o vazbě klíče na zařízení a o tom, že zařízení má vlastnosti uvedené v atestaci. Tyto důkazy se pak mohou projevit ve skóre důvěryhodnosti, podle kterého se server rozhoduje, jestli požadovaný certifikát vydá. Má‑li položka Attest hodnotu true, musí mít hodnotu true i položka HardwareBound. | Ne | |||||||||
Poznámka: Implementace těchto položek nastavení se u různých dodavatelů MDM liší. Informace o tom, jak se různé položky nastavení v datové části ACME Certificate použijí pro vaše zařízení, najdete v dokumentaci od dodavatele služby MDM.