Einstellungen der MDM-Payload „Zertifikate“ für Apple-Geräte
Du kannst für iPhone-, iPad-, Mac- und Apple TV-Geräte, die in einer Lösung für die Mobilgeräteverwaltung (MDM) registriert sind, die Zertifikateinstellungen konfigurieren. Mit den Payloads „Zertifikate“ kannst du einem Gerät Zertifikate und eine Identität hinzufügen.
Die Payload „Zertifikate“ unterstützt Folgendes. Weitere Informationen findest du unter Payload-Informationen.
Unterstützte Payload-IDs: com.apple.security.pem, com.apple.security.pem1, com.apple.security.pem12, com.apple.security.root
Unterstützte Betriebssysteme und Kanäle: iOS, iPadOS, Geteiltes iPad-Gerät, macOS-Gerät, macOS-Benutzer, tvOS, watchOS 10, visionOS 1.1.
Unterstützte Registrierungstypen: Benutzerregistrierung, Geräteregistrierung, Automatische Geräteregistrierung.
Duplikate erlaubt: Wahr – mehr als eine Payload „Zertifikate“ kann an einen Benutzer oder ein Gerät gesendet werden.
Du kannst die Einstellungen in der folgenden Tabelle mit den Payloads „Zertifikate“ verwenden.
Einstellung | Beschreibung | Erforderlich | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Zertifikatsname | Dies ist der Anzeigename des Zertifikats. | Ja | |||||||||
Zertifikat- oder Identitätsdaten | iPhone-, iPad-, Mac- und Apple TV-Geräte können X.509-Zertifikate mit RSA-Schlüsseln verwenden. Die Formate und erkannten Dateierweiterungen sind:
PKCS #12-Dateien enthalten auch den privaten Schlüssel sowie exakt eine Identität. Um den Schutz des privaten Schlüssels sicherzustellen, werden PKCS #12-Dateien mit einem Passwort verschlüsselt. | Ja | |||||||||
Passwort | Dies ist das Passwort, mit dem die Account- und Anmeldeinformationen gesichert werden. | Nein | |||||||||
Hinweis: Jeder MDM-Anbieter implementiert diese Einstellungen auf unterschiedliche Weise. In der Herstellerdokumentation zur jeweiligen MDM-Lösung wird beschrieben, wie verschiedene Zertifikatseinstellungen auf Geräte und Benutzer angewendet werden.
Hinzufügen eines Zertifikats oder einer Identität
Denke daran, zusammen mit einem root-Zertifikat auch die Intermediate-Zertifikate zu installieren, damit eine Vertrauenskette zu einem vertrauenswürdigen Zertifikat etabliert wird, das sich auf dem Gerät befindet. Dies kann für Technologien wie 802.1X wichtig sein. Eine Liste der vorinstallierten Roots für Apple-Geräte findest du im Apple Support-Artikel Liste verfügbarer vertrauenswürdiger Root-Zertifikate in iOS 17, iPadOS 17, macOS 14, tvOS 17 und watchOS 10.
Wenn du ein Zertifikat oder eine Identität aus dem Schlüsselbund installierst, kannst du dieses bzw. diese mit dem Programm „Schlüsselbundverwaltung“ in das Format „.PKCS #12 (.p12)“ exportieren. Das Programm „Schlüsselbundverwaltung“ befindet sich im Ordner „/Programme/Dienstprogramme“. Weitere Informationen findest du im Benutzerhandbuch zur Schlüsselbundverwaltung.
Wenn du eine Identität für die Verwendung mit Microsoft Exchange oder Exchange ActiveSync, SSO (Single Sign-on, Gesamtauthentifizierung), VPN und ein Netzwerk oder WLAN hinzufügen möchtest, musst du die jeweilige Payload verwenden.
Wird bei der Implementierung einer PKCS #12 (.p12 oder pfx)-Datei das Passwort für die Identität des Zertifikats weggelassen, müssen die Benutzer es beim Installieren des Profils eingeben. Der Payload-Inhalt ist unkenntlich gemacht aber nicht verschlüsselt. Wenn du das Passwort hinzufügst, solltest du darauf achten, dass das Profil nur autorisierten Benutzern zur Verfügung steht.
Zertifikate können nicht nur mithilfe eines Konfigurationsprofils installiert werden, sondern auch auf einer Website bereitgestellt werden, von wo Benutzer sie in Safari mithilfe dieses Zertifikats (das du nicht bereitstellen solltest) auf ihre Geräte herunterladen können, um sie darauf zu installieren. Zertifikate können alternativ auch als Anhang einer E-Mail gesendet werden. Mit den Einstellungen der Payload „SCEP“ (Simple Certificate Enrollment Protokoll) kannst du außerdem festlegen, wie ein Gerät beim Installieren des Profils die Zertifikate abrufen kann.
Vertrauenswürdigkeit von Zertifikaten
Ein Zertifikat besitzt automatisch volles Vertrauen, wenn es folgende Kriterien erfüllt:
Es wird durch eine Instanz von Apple Configurator installiert, die dieselbe Betreuungsidentität wie das Gerät aufweist.
Es wird automatisch durch eine unterstützte MDM-Lösung installiert.
Es wird manuell mithilfe einer Payload installiert, die an ein Registrierungsprofil aus einer unterstützten MDM-Lösung angehängt ist.
Als Best Practice wird empfohlen, die manuelle Installation von Zertifikaten durch Benutzer zu vermeiden. Stelle stattdessen sicher, dass die Payload „Zertifikate“ im MDM-Registrierungsprofil enthalten ist, damit der Schritt der manuellen Vertrauensstellung für das Zertifikat entfällt.