Edarkan sijil ke peranti Apple
Anda boleh mengedarkan sijil ke peranti iPhone, iPad dan Apple Vision Pro secara manual. Apabila pengguna menerima sijil, mereka mengetik untuk menyemak kandungan, kemudian ketik untuk menambah sijil pada peranti. Apabila sijil identiti dipasang, pengguna diminta untuk kata laluan yang melindunginya. Jika kesahihan sijil tidak boleh disahkan, ia ditunjukkan sebagai tidak dipercayai dan pengguna boleh menentukan sama ada untuk menambahnya ke peranti.
Anda boleh mengedarkan sijil ke komputer Mac secara manual. Apabila pengguna menerima sijil, mereka dwiklik sijil untuk membuka Akses Rantai Kunci dan menyemak kandungan. Jika sijil menepati jangkaan, pengguna memilih rantai kunci yang dimahukan dan mengklik butang Tambah. Kebanyakan sijil pengguna perlu dipasang dalam rantai kunci log masuk. Apabila sijil identiti dipasang, pengguna diminta untuk kata laluan yang melindunginya. Jika kesahihan sijil tidak boleh disahkan, sijil ditunjukkan sebagai tidak dipercayai dan pengguna boleh menentukan sama ada untuk menambahnya ke Mac.
Sesetengah identiti sijil boleh diperbaharui secara automatik pada komputer Mac.
Kaedah pengerahan sijil menggunakan muat beban MDM
Jadual berikut menunjukkan muat beban yang berbeza untuk mengerahkan sijil menggunakan profil konfigurasi. Ini termasuk muat beban Sijil Active Directory, muat beban Sijil (untuk sijil identiti PKCS #12), muat beban Persekitaran Pengurusan Sijil Diautomasikan (ACME) dan muat beban Protokol Pentadbiran Sijil Ringkas (SCEP).
Muat Beban | Sistem pengendalian dan saluran yang disokong | Perihalan | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Muat beban Sijil Active Directory | Peranti macOS Pengguna macOS | Dengan mengkonfigurasikan muat beban Sijil Active Directory, macOS membuat permintaan tandatangan sijil secara terus dengan pelayan Perkhidmatan Sijil Active Directory yang mengeluarkan CA menggunakan panggilan prosedur jauh. Anda boleh mendaftar identiti mesin menggunakan kelayakan objek komputer Mac dalam Active Directory. Pengguna juga boleh memberikan kelayakan mereka sebagai sebahagian daripada proses pendaftaran untuk memperuntukkan identiti individu. Menggunakan muat beban ini, pentadbir memiliki kawalan tambahan terhadap penggunaan kunci dan templat sijil untuk pendaftaran. Seperti SCEP, kunci peribadi kekal pada peranti. | |||||||||
Muat beban ACME | iOS iPadOS Peranti iPad Dikongsi Peranti macOS Pengguna macOS tvOS watchOS 10 visionOS 1.1 | Peranti memperoleh sijil daripada CA untuk peranti Apple yang didaftarkan dalam penyelesaian MDM. Dengan teknik ini, kunci peribadi kekal hanya pada peranti dan mungkin perkakasan yang terikat kepada peranti secara pilihan. | |||||||||
Muat beban sijil (untuk sijil identiti PKCS #12) | iOS iPadOS Peranti iPad Dikongsi Peranti macOS Pengguna macOS tvOS watchOS 10 visionOS 1.1 | Jika identiti diperuntukkan keluar peranti bagi pihak pengguna atau peranti, ia boleh diperkemas ke dalam fail PKCS #12 (.p12 atau .pfx) dan dilindungi dengan kata laluan. Jika muat beban mengandungi kata laluan, identiti boleh dipasang tanpa menggesa pengguna untuknya. | |||||||||
Muat beban SCEP | iOS iPadOS Peranti iPad Dikongsi Peranti macOS Pengguna macOS tvOS watchOS 10 visionOS 1.1 | Peranti meletakkan permintaan tandatangan sijil terus kepada pelayan pendaftaran. Dengan teknik ini, kunci peribadi kekal hanya pada peranti. | |||||||||
Untuk mengaitkan perkhidmatan dengan identiti tertentu, konfigurasikan muat beban ACME, SCEP atau sijil dan kemudian konfigurasikan perkhidmatan yang dikehendaki dalam profil konfigurasi yang sama. Sebagai contoh, muat beban SCEP boleh dikonfigurasikan untuk memperuntukkan identiti untuk peranti dan dalam profil konfigurasi yang sama, muat beban Wi-Fi boleh dikonfigurasikan untuk WPA2 Perusahaan/EAP-TLS menggunakan sijil peranti yang terhasil daripada pendaftaran SCEP untuk pengesahan.
Untuk mengaitkan perkhidmatan dengan identiti tertentu dalam macOS, konfigurasi muat beban Sijil Active Directory, ACME, SCEP, atau sijil dan kemudian konfigurasi perkhidmatan yang dikehendaki dalam profil konfigurasi yang sama. Sebagai contoh, anda boleh mengkonfigurasikan muat beban Sijil Active Directory untuk memperuntukkan identiti untuk peranti dan dalam profil konfigurasi yang sama, muat beban Wi-Fi boleh dikonfigurasikan untuk Perusahaan WPA2 EAP-TLS menggunakan sijil peranti yang terhasil daripada pendaftaran Sijil Active Directory untuk pengesahan.
Sijil yang diperbaharui dipasangkan oleh profil konfigurasi
Untuk memastikan akses perkhidmatan berterusan, sijil yang dikerahkan menggunakan penyelesaian MDM sepatutnya diperbaharui sebelum ia tamat tempoh. Untuk berbuat demikian, penyelesaian MDM boleh meminta sijil dipasang, memeriksa tarikh tamat tempoh dan mengeluarkan profil atau konfigurasi baharu lebih awal.
Untuk sijil Active Directory, apabila identiti sijil dikerahkan sebagai sebahagian daripada profil peranti, kelakuan lalai diperbaharui secara automatik dalam macOS 13 atau lebih baharu. Pentadbir boleh mengesetkan keutamaan sistem untuk mengubah suai kelakuan ini. Untuk mendapatkan maklumat lanjut, lihat artikel Sokongan Apple Perbaharui sijil yang dihantar melalui profil konfigurasi secara automatik.
Pasangkan sijil menggunakan Mail atau Safari
Anda boleh menghantar sijil sebagai lampiran ke mesej mel atau mengehoskan sijil pada tapak web selamat yang pengguna muat turun sijil pada peranti Apple mereka.
Keluarkan dan membatalkan sijil
Penyelesaian MDM boleh melihat semua sijil pada peranti dan mengeluarkan sebarang sijil yang ia pasang.
Selain itu, Protokol Status Sijil Dalam Talian (OCSP) disokong untuk menyemak status sijil. Apabila sijil didayakan OCSP digunakan, iOS, iPadOS, macOS dan visionOS mengesahkannya dari semasa ke semasa untuk memastikan bahawa ia belum dibatalkan.
Untuk membatalkan sijil menggunakan profil konfigurasi, lihat Seting muat beban MDM Pembatalan Sijil.
Untuk mengeluarkan sijil yang dipasang dalam iOS, iPadOS dan visionOS 1.1 atau lebih baharu secara manual, pergi ke Seting > Umum > Pengurusan Peranti, pilih profil, ketik Butiran Lanjut, kemudian ketik sijil untuk mengeluarkannya. Jika anda mengeluarkan sijil yang diperlukan untuk mengakses akaun atau rangkaian, iPhone, iPad atau Apple Vision Pro tidak lagi boleh bersambung ke perkhidmatan tersebut.
Untuk mengeluarkan sijil yang dipasang dalam macOS secara manual, lancarkan app Akses Rantai Kunci, kemudian cari sijil. Pilihnya, kemudian padamkannya daripada rantai kunci. Jika anda mengeluarkan sijil yang diperlukan untuk mengakses akaun atau rangkaian, Mac tidak lagi boleh bersambung ke perkhidmatan tersebut.