Ρυθμίσεις φορτίου MDM «Πιστοποιητικά» για συσκευές Apple
Μπορείτε να διαμορφώσετε τις ρυθμίσεις Πιστοποιητικών σε συσκευές iPhone, iPad, Mac και Apple TV που έχουν εγγραφεί σε μια λύση διαχείρισης φορητών συσκευών (MDM). Χρησιμοποιήστε τα φορτία «Πιστοποιητικά» για προσθήκη πιστοποιητικών και ταυτότητας στη συσκευή.
Τα φορτία «Πιστοποιητικά» υποστηρίζουν τα εξής. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Πληροφορίες φορτίου.
Υποστηριζόμενα αναγνωριστικά φορτίων: com.apple.security.pem, com.apple.security.pem1, com.apple.security.pem12, com.apple.security.root
Υποστηριζόμενα λειτουργικά συστήματα και κανάλια: iOS, iPadOS, συσκευή Κοινόχρηστου iPad, συσκευή macOS, χρήστης macOS, tvOS, watchOS 10, visionOS 1.1.
Υποστηριζόμενοι τύποι εγγραφής: Εγγραφή χρήστη, Εγγραφή συσκευής, Αυτοματοποιημένη εγγραφή συσκευής.
Επιτρέπονται διπλότυπα: Αληθής – περισσότερα από ένα φορτία «Πιστοποιητικά» μπορούν να παραδοθούν σε έναν χρήστη ή μια συσκευή.
Μπορείτε να χρησιμοποιήσετε τις ρυθμίσεις στον παρακάτω πίνακα με τα φορτία «Πιστοποιητικά».
Ρύθμιση | Περιγραφή | Απαιτείται | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Certificate name | Το εμφανιζόμενο όνομα του πιστοποιητικού. | Ναι | |||||||||
Certificate or identity data | Οι συσκευές iPhone, iPad, Mac και Apple TV μπορούν να χρησιμοποιούν πιστοποιητικά X.509 με κλειδιά RSA. Οι μορφές και οι αναγνωρισμένες επεκτάσεις αρχείων είναι:
Τα αρχεία PKCS #12 περιλαμβάνουν επίσης το ιδιωτικό κλειδί και περιέχουν επακριβώς μία ταυτότητα. Για διασφάλιση της προστασίας του ιδιωτικού κλειδιού, τα αρχεία PKCS #12 είναι κρυπτογραφημένα με συνθηματική φράση. | Ναι | |||||||||
Passphrase | Μια συνθηματική φράση που χρησιμοποιείται για ασφάλιση των διαπιστευτηρίων. | Όχι | |||||||||
Σημείωση: Κάθε προμηθευτής MDM υλοποιεί αυτές τις ρυθμίσεις με διαφορετικό τρόπο. Για να μάθετε πώς εφαρμόζονται διάφορες ρυθμίσεις Πιστοποιητικών στις συσκευές και τους χρήστες σας, συμβουλευτείτε το πληροφοριακό υλικό του προμηθευτή MDM σας.
Κατά την προσθήκη ενός πιστοποιητικού ή μιας ταυτότητας
Κατά την εγκατάσταση ενός πιστοποιητικού ρίζας, ενδέχεται να θέλετε επίσης να εγκαταστήσετε το ενδιάμεσο πιστοποιητικό για δημιουργία αλυσίδας σε αξιόπιστο πιστοποιητικό στη συγκεκριμένη συσκευή. Αυτό μπορεί να είναι σημαντικό για τεχνολογίες όπως 802.1X. Για προβολή μιας λίστας προεγκατεστημένων ριζών για συσκευές Apple, ανατρέξτε στο άρθρο της Υποστήριξης Apple Λίστα διαθέσιμων αξιόπιστων πιστοποιητικών ρίζας σε iOS 17, iPadOS 17, macOS 14, tvOS 17 και watchOS 10.
Αν το πιστοποιητικό ή η ταυτότητα που θέλετε να εγκαταστήσετε βρίσκονται στην κλειδοθήκη σας, χρησιμοποιήστε την Πρόσβαση στην κλειδοθήκη για εξαγωγή τους σε μορφή PKCS #12 (.p12). Η «Πρόσβαση στην κλειδοθήκη» βρίσκεται στις /Εφαρμογές/Βοηθήματα/. Για περισσότερες πληροφορίες, ανατρέξτε στον οδηγό χρήσης για την «Πρόσβαση στην κλειδοθήκη».
Για προσθήκη ταυτότητας για χρήση με Microsoft Exchange ή Exchange ActiveSync, μοναδική σύνδεση, VPN και δίκτυο ή Wi-Fi, χρησιμοποιήστε εκείνο το συγκεκριμένο φορτίο.
Κατά την ανάπτυξη αρχείου PKCS #12 (.p12 ή .pfx), αν παραλείψετε τη συνθηματική φράση της ταυτότητας του πιστοποιητικού, ζητείται από τους χρήστες να την εισαγάγουν κατά την εγκατάσταση του προφίλ. Το περιεχόμενο του φορτίου είναι περιπλεγμένο αλλά όχι κρυπτογραφημένο. Εάν συμπεριλάβετε τη συνθηματική φράση, βεβαιωθείτε ότι το προφίλ είναι διαθέσιμο μόνο σε εξουσιοδοτημένους χρήστες.
Αντί για την εγκατάσταση πιστοποιητικών με χρήση προφίλ διαμόρφωσης, μπορείτε να επιτρέψετε στους χρήστες να χρησιμοποιούν το Safari για να πραγματοποιούν λήψη των πιστοποιητικών στις συσκευές τους από μια ιστοσελίδα που χρησιμοποιεί το συγκεκριμένο πιστοποιητικό (δεν πρέπει να φιλοξενείτε το πιστοποιητικό). Εναλλακτικά μπορείτε να στέλνετε πιστοποιητικά σε χρήστες μέσω μηνύματος email. Μπορείτε επίσης να χρησιμοποιήσετε τις ρυθμίσεις φορτίου MDM SCEP για καθορισμό του τρόπου λήψης πιστοποιητικών από τη συσκευή κατά την εγκατάσταση προφίλ.
Αξιοπιστία πιστοποιητικών
Ένα πιστοποιητικό έχει αυτόματη πλήρη αξιοπιστία αν:
Έχει εγκατασταθεί από ένα στιγμιότυπο του Apple Configurator που έχει την ίδια ταυτότητα επίβλεψης με τη συσκευή
Έχει εγκατασταθεί αυτόματα από μια υποστηριζόμενη λύση MDM
Έχει εγκατασταθεί χειροκίνητα από ένα φορτίο προσαρτημένο σε ένα προφίλ εγγραφής από μια υποστηριζόμενη λύση MDM
Ως βέλτιστη πρακτική, θα πρέπει να αποφεύγεται η χειροκίνητη εγκατάσταση πιστοποιητικών από τους χρήστες. Αντ’ αυτού, βεβαιωθείτε ότι το φορτίο «Πιστοποιητικά» βρίσκεται στο προφίλ εγγραφής MDM προκειμένου να αφαιρεθεί το βήμα χειροκίνητης έγκρισης του πιστοποιητικού ως αξιόπιστου.