Distribuire certificati sui dispositivi Apple
Puoi distribuire i certificati su iPhone, iPad e Apple Vision Pro manualmente. Quando gli utenti ricevono un certificato, possono esaminarne i contenuti e quindi aggiungerlo al dispositivo. Quando si installa un certificato di identità, all’utente viene chiesto di inserire la password che lo protegge. Se è impossibile verificare l’autenticità di un certificato, verrà indicato come non attendibile e l’utente potrà decidere se aggiungerlo o meno al dispositivo.
Puoi distribuire i certificati sui Mac manualmente. Quando ricevono un certificato, gli utenti possono fare doppio clic sul file per aprirlo in Accesso Portachiavi e verificarne i contenuti. Se il certificato corrisponde alle aspettative, gli utenti selezionano il portachiavi desiderato e fanno clic sul pulsante Aggiungi. La maggior parte dei certificati utente deve essere installata nel portachiavi Login. Quando si installa un certificato di identità, all’utente viene chiesto di inserire la password che lo protegge. Se è impossibile verificare l’autenticità di un certificato, verrà indicato come non attendibile e l’utente potrà decidere se aggiungerlo o meno al Mac.
Alcune identità dei certificati possono essere rinnovate automaticamente sui Mac.
Metodi di distribuzione dei certificati tramite i payload MDM
La seguente tabella mostra i vari payload utilizzabili per distribuire certificati tramite i profili di configurazione. Tra questi sono inclusi il payload “Certificato Active Directory”, il payload Certificato (per un certificato di identità PKCS #12), il payload ACME (Automated Certificate Management Environment) e il payload SCEP (Simple Certificate Enrollment Protocol).
Payload | Sistemi operativi supportati e canali | Descrizione | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Payload “Certificato Active Directory” | Dispositivo macOS Utente macOS | Configurando il payload “Certificato Active Directory”, macOS invia una richiesta di firma del certificato direttamente con un server Active Directory Certificate Services all’autorità di certificazione emittente tramite una chiamata procedurale remota. Puoi registrare l’identità delle macchine utilizzando le credenziali dell’oggetto del Mac in Active Directory. Gli utenti possono presentare le proprie credenziali come parte del processo di registrazione per fornire identità individuali. Utilizzando questo payload, gli amministratori hanno un controllo maggiore sull’utilizzo delle chiavi private e dei modelli di certificato per la registrazione. Come accade con SCEP, la chiave privata rimane sul dispositivo. | |||||||||
Payload ACME | iOS iPadOS iPad condiviso Dispositivo macOS Utente macOS tvOS watchOS 10 visionOS 1.1 | Il dispositivo ottiene certificati da un’autorità di certificazione per i dispositivi Apple registrati in una soluzione MDM. Con questa tecnica, la chiave privata resta soltanto sul dispositivo e facoltativamente può essere legata al suo hardware. | |||||||||
Payload Certificati (per certificato di identità PKCS #12) | iOS iPadOS iPad condiviso Dispositivo macOS Utente macOS tvOS watchOS 10 visionOS 1.1 | se l’identità viene fornita al dispositivo a nome dell’utente o del dispositivo, può essere impacchettata in un file PKCS #12 (.p12 o .pfx) e protetta con una password. Se il payload contiene la password, l’identità può essere installata senza che all’utente venga richiesta alcuna azione. | |||||||||
Payload SCEP | iOS iPadOS iPad condiviso Dispositivo macOS Utente macOS tvOS watchOS 10 visionOS 1.1 | il dispositivo invia la richiesta di firma del certificato direttamente a un server di registrazione. Con questa tecnica, la chiave privata resta soltanto sul dispositivo. | |||||||||
Per associare i servizi a una particolare identità, configura un payload ACME, SCEP o Certificato, quindi configura il servizio desiderato nello stesso profilo di configurazione. Ad esempio, è possibile configurare un payload SCEP per fornire un’identità per il dispositivo e nello stesso profilo di configurazione è possibile configurare un payload Wi-Fi per WPA2 Enterprise/EAP-TLS utilizzando il certificato del dispositivo risultante dalla registrazione SCEP per l’autenticazione.
Per poter associare i servizi a una particolare identità per macOS, configura un payload “Certificato Active Directory”, ACME, SCEP o Certificato, quindi configura il servizio desiderato nello stesso profilo di configurazione. Ad esempio, puoi configurare un payload “Certificato Active Directory” per fornire un’identità per il dispositivo e nello stesso profilo di configurazione è possibile configurare un payload Wi-Fi per WPA2 Enterprise EAP-TLS utilizzando il certificato del dispositivo risultante dalla registrazione del payload “Certificato Active Directory” per l’autenticazione.
Rinnovare i certificati installati dai profili di configurazione
Per garantire un accesso ai servizi senza interruzioni, i certificati distribuiti tramite una soluzione MDM devono essere rinnovati prima della loro scadenza. Per farlo, le soluzioni MDM possono inviare una query ai certificati installati, controllare la data di scadenza ed emettere un nuovo profilo o una nuova configurazione in anticipo.
Per i certificati di Active Directory, quando le identità del certificato vengono distribuite come parte del profilo del dispositivo, il comportamento di default prevede il rinnovo automatico in macOS 13 o versioni successive. Gli amministratori possono impostare una preferenza di sistema per modificare tale comportamento. Per ulteriori informazioni, consulta l’articolo del Supporto Apple Rinnovo automatico dei certificati forniti tramite un profilo di configurazione.
Installare i certificati tramite Mail o Safari
Puoi inviare i certificati come allegato a un messaggio email oppure puoi ospitarli su un sito web sicuro dove gli utenti possono scaricarli sui propri dispositivi Apple.
Rimuovere e revocare i certificati
Una soluzione MDM è in grado di visualizzare tutti i certificati presenti sul dispositivo e di rimuovere quelli che ha installato.
Inoltre, è supportato il protocollo OCSP (Online Certificate Status Protocol) per controllare lo stato dei certificati. Quando si utilizza un certificato abilitato per OCSP, iOS, iPadOS, macOS e visionOS lo convalidano periodicamente per verificare che non sia stato revocato.
Per revocare i certificati utilizzando un profilo di configurazione, consulta Impostazioni del payload MDM “Revoca certificati”.
Per rimuovere manualmente un certificato installato in iOS, iPadOS e visionOS 1.1 o versioni successive, vai in Impostazioni > Generali > Gestione dispositivi, seleziona un profilo, tocca “Più dettagli”, quindi tocca il certificato per rimuoverlo. Se rimuovi un certificato che è necessario per accedere a un account o a una rete, iPhone, iPad o Apple Vision Pro non potrà più collegarsi a tali servizi.
Per rimuovere manualmente un certificato installato in macOS, avvia l’app Accesso Portachiavi, quindi cerca il certificato da rimuovere. Selezionalo, quindi eliminalo dal portachiavi. Se rimuovi un certificato che è necessario per accedere a un account o a una rete, il Mac non potrà più collegarsi a tali servizi.