Διανομή πιστοποιητικών σε συσκευές Apple
Μπορείτε να διανείμετε πιστοποιητικά χειροκίνητα σε συσκευές iPhone, iPad και Apple Vision Pro. Όταν οι χρήστες λαμβάνουν ένα πιστοποιητικό, αγγίζουν για να δουν τα περιεχόμενα και, στη συνέχεια, αγγίζουν για να προσθέσουν το πιστοποιητικό στη συσκευή. Όταν πραγματοποιείται εγκατάσταση ενός πιστοποιητικού ταυτότητας, ζητείται από τους χρήστες το συνθηματικό που το προστατεύει. Αν δεν είναι δυνατή η επαλήθευση της αυθεντικότητας του πιστοποιητικού, εμφανίζεται ως αναξιόπιστο και ο χρήστης μπορεί να αποφασίσει, αν θα το προσθέσει στη συσκευή.
Μπορείτε να διανείμετε πιστοποιητικά χειροκίνητα σε υπολογιστές Mac. Όταν οι χρήστες λάβουν ένα πιστοποιητικό, απλώς κάνουν διπλό κλικ σε αυτό για να ανοίξουν την Πρόσβαση στην κλειδοθήκη και να ελέγξουν τα περιεχόμενα. Εάν το πιστοποιητικό πληροί τις προσδοκίες, οι χρήστες επιλέγουν την επιθυμητή κλειδοθήκη και κάνουν κλικ στο κουμπί «Προσθήκη». Τα περισσότερα πιστοποιητικά χρήστη πρέπει να εγκατασταθούν στην κλειδοθήκη εισόδου. Όταν πραγματοποιείται εγκατάσταση ενός πιστοποιητικού ταυτότητας, ζητείται από τους χρήστες το συνθηματικό που το προστατεύει. Αν δεν είναι δυνατή η επαλήθευση της αυθεντικότητας του πιστοποιητικού, εμφανίζεται ως αναξιόπιστο και ο χρήστης μπορεί να αποφασίσει αν θα το προσθέσει στο Mac.
Κάποιες ταυτότητες πιστοποιητικών μπορούν να ανανεωθούν αυτόματα σε υπολογιστές Mac.
Μέθοδοι ανάπτυξης πιστοποιητικών με χρήση φορτίων MDM
Ο παρακάτω πίνακας δείχνει τα διαφορετικά φορτία για ανάπτυξη πιστοποιητικών με χρήση προφίλ διαμόρφωσης. Αυτά περιλαμβάνουν το φορτίο Πιστοποιητικού Active Directory, το φορτίο Πιστοποιητικού (για πιστοποιητικό ταυτότητας PKCS 12), το φορτίο «Περιβάλλον αυτοματοποιημένης διαχείρισης πιστοποιητικών (ACME)» και το φορτίο «Απλό πρωτόκολλο εγγραφής πιστοποιητικών (SCEP)».
Φορτίο | Υποστηριζόμενα λειτουργικά συστήματα και κανάλια | Περιγραφή | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Φορτίο «Πιστοποιητικό Active Directory» | Συσκευή macOS Χρήστης macOS | Με τη ρύθμιση παραμέτρων του φορτίου Active Directory Certificate, το macOS τοποθετεί ένα αίτημα υπογραφής πιστοποιητικού απευθείας σε διακομιστή Active Directory Certificate Services της εκδίδουσας αρχής πιστοποίησης μέσω κλήσης απομακρυσμένης διεργασίας (RPC). Μπορείτε να εγγράφετε ταυτότητες συσκευής με χρήση των διαπιστευτηρίων του αντικειμένου του υπολογιστή Mac στο Active Directory. Οι χρήστες μπορούν να παρέχουν τα διαπιστευτήριά τους ως μέρος της διεργασίας εγγραφής για την παροχή ατομικών ταυτοτήτων. Με αυτό το φορτίο, οι διαχειριστές έχουν επιπλέον έλεγχο της χρήσης προσωπικού κλειδιού και του προτύπου πιστοποιητικού για εγγραφή. Όπως και με το SCEP, το προσωπικό κλειδί παραμένει στη συσκευή. | |||||||||
Φορτίο «ACME» | iOS iPadOS Συσκευή Κοινόχρηστου iPad Συσκευή macOS Χρήστης macOS tvOS watchOS 10 visionOS 1.1 | Η συσκευή λαμβάνει πιστοποιητικά από μια αρχή έκδοσης πιστοποιητικών (CA) για συσκευές Apple που είναι εγγεγραμμένες σε μια λύση MDM (Διαχείρισης φορητών συσκευών). Με αυτήν την τεχνική, το ιδιωτικό κλειδί παραμείνει μόνο στη συσκευή και μπορεί προαιρετικά να συνδεθεί με το υλισμικό της συσκευής. | |||||||||
Φορτίο «Πιστοποιητικά» (για το πιστοποιητικό ταυτότητας PKCS 12) | iOS iPadOS Συσκευή Κοινόχρηστου iPad Συσκευή macOS Χρήστης macOS tvOS watchOS 10 visionOS 1.1 | Εάν η ταυτότητα παρέχεται από τη συσκευή εκ μέρος του χρήστη ή της συσκευής, μπορεί να συμπιεστεί σε αρχείο PKCS #12 (.p12 ή .pfx) και να προστατεύεται με συνθηματικό. Εάν το φορτίο περιέχει το συνθηματικό, η ταυτότητα μπορεί να εγκατασταθεί χωρίς να ζητηθεί από τον χρήστη. | |||||||||
Φορτίο SCEP | iOS iPadOS Συσκευή Κοινόχρηστου iPad Συσκευή macOS Χρήστης macOS tvOS watchOS 10 visionOS 1.1 | Η συσκευή τοποθετεί το αίτημα υπογραφής πιστοποιητικού απευθείας σε έναν διακομιστή εγγραφής. Με αυτήν την τεχνική, το ιδιωτικό κλειδί παραμείνει μόνο στη συσκευή. | |||||||||
Για να συσχετίσετε υπηρεσίες με μια συγκεκριμένη ταυτότητα, διαμορφώστε ένα φορτίο ACME, SCEP ή Πιστοποιητικού και μετά διαμορφώστε την επιθυμητή υπηρεσία στο ίδιο προφίλ διαμόρφωσης. Για παράδειγμα, υπάρχει δυνατότητα ρύθμισης παραμέτρων ενός φορτίου SCEP για παροχή ταυτότητας στη συσκευή, και στο ίδιο προφίλ, υπάρχει δυνατότητα ρύθμισης παραμέτρων ενός φορτίου Wi-Fi για WPA2 Enterprise/EAP-TLS με χρήση του πιστοποιητικού συσκευής που προκύπτει από την εγγραφή SCEP για έλεγχο ταυτότητας.
Για να συσχετίσετε υπηρεσίες με μια συγκεκριμένη ταυτότητα στο macOS, διαμορφώστε ένα φορτίο Πιστοποιητικού Active Directory, ACME, SCEP ή Πιστοποιητικού και μετά διαμορφώστε την επιθυμητή υπηρεσία στο ίδιο προφίλ διαμόρφωσης. Για παράδειγμα, μπορείτε να διαμορφώσετε ένα φορτίο «Πιστοποιητικό Active Directory» για παροχή ταυτότητας στη συσκευή, και στο ίδιο προφίλ διαμόρφωσης, υπάρχει δυνατότητα διαμόρφωσης ενός φορτίου Wi-Fi για WPA2 Εταιρικό, EAP-TLS με χρήση του πιστοποιητικού συσκευής που προκύπτει από την εγγραφή Πιστοποιητικού Active Directory για έλεγχο ταυτότητας.
Ανανέωση πιστοποιητικών που έχουν εγκατασταθεί από προφίλ διαμόρφωσης
Για να διασφαλιστεί η συνεχής πρόσβαση στην υπηρεσία, τα πιστοποιητικά που έχουν αναπτυχθεί με χρήση λύσης MDM θα πρέπει να ανανεώνονται πριν από τη λήξη τους. Για να γίνει αυτό, οι λύσεις MDM μπορούν να υποβάλλουν ερωτήματα στα εγκατεστημένα πιστοποιητικά, να επιθεωρήσουν την ημερομηνία λήξης και να εκδώσουν ένα νέο προφίλ ή διαμόρφωση εκ των προτέρων.
Για τα πιστοποιητικά Active Directory, όταν οι ταυτότητες πιστοποιητικών αναπτύσσονται ως μέρος ενός προφίλ συσκευής, η προεπιλεγμένη συμπεριφορά είναι η αυτόματη ανανέωση στο macOS 13 ή μεταγενέστερη έκδοση. Οι διαχειριστές μπορούν να ορίσουν μια προτίμηση συστήματος για τροποποίηση αυτής της συμπεριφοράς. Για περισσότερες πληροφορίες ανατρέξτε στο άρθρο της Υποστήριξης Apple Αυτόματη ανανέωση πιστοποιητικών που παρέχονται μέσω προφίλ διαμόρφωσης.
Εγκατάσταση πιστοποιητικών μέσω Mail ή Safari
Μπορείτε να στείλετε ένα πιστοποιητικό ως συνημμένο σε ένα μήνυμα email ή να φιλοξενήσετε ένα πιστοποιητικό σε έναν ασφαλή ιστότοπο από όπου οι χρήστες θα πραγματοποιούν λήψη του πιστοποιητικού στις συσκευές Apple τους.
Αφαίρεση και ανάκληση πιστοποιητικών
Μια λύση MDM μπορεί να προβάλει όλα τα πιστοποιητικά σε μια συσκευή και να αφαιρέσει τα πιστοποιητικά που έχει εγκαταστήσει.
Επιπλέον, υποστηρίζεται το Πρωτόκολλο κατάστασης πιστοποιητικού με σύνδεση (Online Certificate Status – OCSP) για τον έλεγχο της κατάστασης των πιστοποιητικών. Όταν χρησιμοποιείται ένα πιστοποιητικό με δυνατότητα OCSP, τα iOS, iPadOS, macOS και visionOS το επικυρώνουν περιοδικά για να βεβαιώνεται ότι δεν έχει ανακληθεί.
Για ανάκληση πιστοποιητικών με χρήση ενός προφίλ ρύθμισης παραμέτρων, δείτε την ενότητα Ρυθμίσεις φορτίου MDM «Certificate Revocation».
Για χειροκίνητη αφαίρεση ενός εγκατεστημένου πιστοποιητικού σε iOS, iPadOS, και visionOS 1.1 ή μεταγενέστερες εκδόσεις, μεταβείτε στις «Ρυθμίσεις» > «Γενικά» > «Διαχείριση συσκευής», επιλέξτε ένα προφίλ, αγγίξτε «Περισσότερες λεπτομέρειες» και μετά αγγίξτε το πιστοποιητικό για να το αφαιρέσετε. Αν αφαιρέσετε ένα πιστοποιητικό που απαιτείται για την πρόσβαση σε έναν λογαριασμό ή σε ένα δίκτυο, το iPhone, το iPad ή το Apple Vision Pro δεν θα μπορεί πλέον να συνδεθεί σε αυτές τις υπηρεσίες.
Για τη χειροκίνητη αφαίρεση ενός εγκατεστημένου πιστοποιητικού σε macOS, εκκινήστε την εφαρμογή «Πρόσβαση στην κλειδοθήκη» και μετά αναζητήστε το πιστοποιητικό. Επιλέξτε το και μετά διαγράψτε το από την κλειδοθήκη. Αν αφαιρέσετε ένα πιστοποιητικό που απαιτείται για την πρόσβαση σε έναν λογαριασμό ή σε ένα δίκτυο, το Mac δεν θα μπορεί πλέον να συνδεθεί σε αυτές τις υπηρεσίες.