Automatizált tanúsítványkezelési környezet adatcsomag (ACME) MDM-adatcsomag-beállítások Apple-eszközökhöz
Konfigurálhatja az ACME-tanúsítvány adatcsomagot, hogy mobileszköz-felügyeleti (MDM) megoldásba regisztrált Apple-eszközökhöz tanúsítványokat kérjen le egy tanúsítványkiadó központból (CA). Az ACME az SCEP modern alternatívája. Egy protokoll a tanúsítványok lekérésére és telepítésére. Az ACME használata kötelező a Managed Device Attestation használata esetén.
Az ACME-tanúsítvány adatcsomag a következőket támogatja. További információk: Adatcsomagok adatai.
Támogatott adatcsomag-azonosító: com.apple.security.acme
Támogatott operációs rendszerek és csatornák: iOS, iPadOS, megosztott iPad, macOS-eszköz, macOS-felhasználó, tvOS, watchOS 10, visionOS 1.1.
Támogatott felíratási típusok: Felhasználói regisztráció, Eszközregisztráció, Automatizált eszközregisztráció.
Megkettőzött elemek engedélyezve: Igaz – több ACME Certificate adatcsomag továbbítható egy eszközhöz.
Használhatja az alábbi táblázatban található beállításokat az ACME Certificate adatcsomaggal.
Beállítás | Leírás | Kötelező | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Kliensazonosító | Egy egyedi karakterlánc, amely egy adott eszközt azonosít. Előfordulhat, hogy a szerver ezt egy visszajátszás elleni értékként használja a több tanúsítvány kibocsátásának elkerüléséhez. Ez az azonosító azt is jelzi az ACME-szervernek, hogy az eszköz hozzáfér egy vállalati infrastruktúra által kibocsátott, érvényes ügyfél-azonostóhoz. Ez segíthet az ACME-szervernek annak megállapításában, hogy megbízható-e az eszköz. Ez azonban csak relatív gyenge jelzés, mert egy támadó elfoghatja az ügyfél-azonosítót. | Igen | |||||||||
URL (URL-cím) | Az ACME-szerver, beleértve a https:// karakterláncot. | Igen | |||||||||
Kibővített-kulcshasználat | Az érték egy karakterlánctömb. Minden karakterlánc egy OID pontozott jelölés. Például az [”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] ügyfél-hitelesítést és e-mail-védelmet jelez. | Nem | |||||||||
HardwareBound | Ha hozzá van adva, a privát kulcs az eszközhöz van kötve. A Secure Enclave létrehozza a kulcspárt, és a privát kulcsot kriptográfiailag összeköti egy rendszerkulccsal. Ez megakadályozza, hogy a rendszer exportálja a privát kulcsot. Ha hozzá van adva, a KeyType értékének ECSECPrimeRandom-nak kell lennie, és a KeySize értékének 256-nak vagy 384-nek kell lennie.) | Igen | |||||||||
Kulcstípus | A létrehozandó kulcspár típusa:
| Igen | |||||||||
Key size (Kulcsméret) | A KeySize érvényes értékei a KeyType és a HardwareBound értékeitől függnek. | Igen | |||||||||
Subject (Alany) | Az eszköz kérelmezi ezt a tárgyat az ACME-szerver által kibocsátott tanúsítványhoz. Előfordulhat, hogy az ACME-szerver felülbírálja vagy nem veszi figyelembe ezt a mezőt a kibocsátott tanúsítványban. Egy X.500 típusú név reprezentációja OID és érték tömbjeként. Például: /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, amely kifejtve: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | Nem | |||||||||
Subject Alternative Name Type (Alany alternatív nevének típusa) | Itt adható meg az ACME-szerver alternatív neve. A típusok: RFC 822 név, DNS-név és Uniform Resource Identifier (URI). Ez lehet Uniform Resource Locator (URL), Uniform Resource Name (URN) vagy mindkettő. | Nem | |||||||||
Használati jelzők | Ez az érték egy bitmező. A 0x01 bit digitális aláírást jelöl. A 0x10 bit kulcsegyezményt jelöl. Az eszköz kérelmezi ezt a kulcsot az ACME-szerver által kibocsátott tanúsítványhoz. Előfordulhat, hogy az ACME-szerver felülbírálja vagy nem veszi figyelembe ezt a mezőt a kibocsátott tanúsítványban. | Nem | |||||||||
Igazolás | Ha igaz, az eszköz olyan igazolásokat biztosít, amelyek leírást adnak az eszközről és a létrehozott kulcsról az ACME-szerver számára. A szerver az igazolásokat erőteljes bizonyítékként használhatja fel annak igazolására, hogy a kulcs társítva van az eszközzel, és az eszköz az igazolásban felsorolt tulajdonságokkal rendelkezik. A szerver ezt egy megbízhatósági pontszám részeként annak eldöntésére használhatja fel, hogy kiadja-e a kért tanúsítványt. Ha az Igazolás értéke igaz, a HardwareBound értékének szintén igaznak kell lennie. | Nem | |||||||||
Megjegyzés: Az MDM-gyártók különbözőképpen valósítják meg ezeket a beállításokat. Ha szeretné megismerni, hogyan kerülnek a különböző ACME Certificate-beállítások alkalmazásra az eszközein, tekintse meg az MDM-szolgáltató dokumentációját.