Certificaten naar Apple apparaten distribueren
Je kunt certificaten handmatig distribueren naar iPhones, iPads en de Apple Vision Pro. Als gebruikers een certificaat ontvangen, tikken ze erop om de inhoud te bekijken. Vervolgens tikken ze nogmaals om het certificaat aan het apparaat toe te voegen. Wanneer een identiteitscertificaat wordt geïnstalleerd, moet de gebruiker het wachtwoord opgeven waarmee het certificaat is beveiligd. Als de echtheid van een certificaat niet kan worden geverifieerd, wordt het als niet-vertrouwd aangemerkt en kan de gebruiker zelf beslissen om het certificaat wel of niet aan het apparaat toe te voegen.
Je kunt certificaten handmatig distribueren naar Mac-computers. Als gebruikers een certificaat ontvangen, kunnen ze dubbel op het certificaat klikken om Sleutelhangertoegang te openen en de inhoud te bekijken. Als het certificaat aan de verwachtingen voldoet, selecteren de gebruikers de gewenste sleutelhanger en klikken ze op de knop met het plusteken. De meeste gebruikerscertificaten moeten worden geïnstalleerd in de inlogsleutelhanger. Wanneer een identiteitscertificaat wordt geïnstalleerd, moet de gebruiker het wachtwoord opgeven waarmee het certificaat is beveiligd. Als de echtheid van een certificaat niet kan worden geverifieerd, wordt het als niet-vertrouwd aangemerkt en kan de gebruiker zelf beslissen om het certificaat wel of niet aan de Mac toe te voegen.
Sommige certificaatidentiteiten kunnen automatisch worden vernieuwd op Mac-computers.
Certificaten implementeren via MDM-payloads
De volgende tabel bevat een overzicht van de verschillende payloads voor het implementeren van certificaten via configuratieprofielen. Dit zijn de payload 'Active Directory-certificaat', de payload 'Certificaten' (voor een PKCS #12- identiteitscertificaat), de payload 'Automated Certificate Management Environment (ACME)' en de payload 'Simple Certificate Enrollment Protocol (SCEP)'.
Payload | Ondersteunde besturingssystemen en kanalen | Beschrijving | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Payload 'Active Directory-certificaat' | macOS-apparaat macOS-gebruiker | Bij de configuratie van de payload 'Active Directory-certificaat' plaatst macOS een verzoek om ondertekening van het certificaat rechtstreeks bij een uitgevende CA op een Active Directory Certificate Services-server door een externe procedure aan te roepen. Je kunt identiteiten van computers inschrijven met de gegevens van het object van de Mac-computer in Active Directory. Gebruikers kunnen hun gegevens tijdens de inschrijving verstrekken om in afzonderlijke identiteiten te voorzien. Met deze payload hebben beheerders extra controle over het gebruik van private sleutels en het certificaatsjabloon voor de inschrijving. Net als bij SCEP blijft de private sleutel op het apparaat. | |||||||||
Payload 'ACME' | iOS iPadOS Gedeelde iPad macOS-apparaat macOS-gebruiker tvOS watchOS 10 visionOS 1.1 | Het apparaat ontvangt certificaten van een certificaatautoriteit voor Apple apparaten die bij een MDM-oplossing zijn ingeschreven. Bij deze techniek blijft de private sleutel alleen op het apparaat aanwezig en kan de private sleutel hardwarematig aan het apparaat worden gekoppeld. | |||||||||
Payload 'Certificaten' (voor PKCS #12-identiteitscertificaat) | iOS iPadOS Gedeelde iPad macOS-apparaat macOS-gebruiker tvOS watchOS 10 visionOS 1.1 | Als de identiteit namens de gebruiker of het apparaat vanaf het apparaat wordt aangeboden, kan de identiteit worden opgenomen in een PKCS #12-bestand (extensie '.p12' of '.pfx') en worden beveiligd met een wachtwoord. Als de payload het wachtwoord bevat, kan de identiteit zonder tussenkomst van de gebruiker worden geïnstalleerd. | |||||||||
SCEP-payload | iOS iPadOS Gedeelde iPad macOS-apparaat macOS-gebruiker tvOS watchOS 10 visionOS 1.1 | Het apparaat verstuurt het verzoek om certificaatondertekening rechtstreeks naar een inschrijvingsserver. Bij deze techniek blijft de private sleutel alleen op het apparaat aanwezig. |
Om voorzieningen aan een bepaalde identiteit te koppelen, configureer je een payload van het type 'ACME', 'SCEP' of 'Certificaten', waarna je de gewenste voorziening in hetzelfde configuratieprofiel configureert. Zo kun je een SCEP-payload configureren om een identiteit voor het apparaat aan te bieden, en in hetzelfde configuratiebestand een wifipayload configureren voor WPA2 op bedrijfsniveau/EAP-TLS. Het apparaatcertificaat dat het resultaat is van de SCEP-inschrijving kan dan voor authenticatie worden gebruikt.
Om voorzieningen aan een bepaalde identiteit in macOS te koppelen, configureer je een payload van het type 'Active Directory-certificaat', 'ACME', 'SCEP' of 'Certificaten', waarna je de gewenste voorziening in hetzelfde configuratieprofiel configureert. Zo kun je de payload 'Active Directory-certificaat' configureren om een identiteit voor het apparaat aan te bieden, en in hetzelfde configuratiebestand een wifipayload configureren voor WPA2 op bedrijfsniveau/EAP-TLS. Het apparaatcertificaat dat het resultaat is van de inschrijving via 'Active Directory-certificaat' kan dan voor authenticatie worden gebruikt.
Certificaten vernieuwen die via een configuratieprofiel zijn geïnstalleerd
Om te zorgen dat voorzieningen toegankelijk blijven, moeten certificaten die zijn geïmplementeerd via een MDM-oplossing worden vernieuwd voordat ze verlopen. Om dit te doen, kunnen MDM-oplossingen de geïnstalleerde certificaten opvragen, de vervaldatum controleren en tijdig een nieuw profiel of een nieuwe configuratie verstrekken.
Wanneer de certificaatidentiteiten voor Active Directory-certificaten zijn geïmplementeerd als onderdeel van een apparaatprofiel, worden de certificaten in macOS 13 of nieuwer automatisch vernieuwd. Beheerders kunnen een systeemvoorkeur instellen om dit aan te passen. Zie het Apple Support-artikel Certificaten die via een configuratieprofiel worden geleverd automatisch vernieuwen voor meer informatie.
Certificaten installeren met Mail of Safari
Je kunt een certificaat versturen als bijlage bij een e‑mailbericht. Een andere mogelijkheid is om een certificaat te hosten op een beveiligde website, waar gebruikers het certificaat kunnen downloaden naar hun Apple apparaat.
Certificaten verwijderen en intrekken
Via een MDM-oplossing kun je alle certificaten op een apparaat bekijken en certificaten verwijderen die via de oplossing zijn geïnstalleerd.
Ook kan het OCSP-protocol (Online Certificate Status Protocol) worden gebruikt voor het controleren van de status van certificaten. Als een certificaat wordt gebruikt dat geschikt is voor OCSP, wordt in iOS, iPadOS, macOS en visionOS regelmatig gecontroleerd of dit certificaat niet is ingetrokken.
Zie Instellingen voor de MDM-payload 'Certificaatintrekking' voor informatie over het intrekken van certificaten met behulp van een configuratieprofiel.
Als je een geïnstalleerd certificaat handmatig wilt verwijderen in iOS, iPadOS, visionOS 1.1 of nieuwer, ga je in Instellingen naar 'Algemeen' > 'Apparaatbeheer', selecteer je een profiel, tik je op 'Meer details' en tik je op het certificaat dat je wilt verwijderen. Als je een certificaat verwijdert dat nodig is om toegang tot een account of netwerk te krijgen, kan de iPhone, iPad of Apple Vision Pro geen verbinding meer maken met deze voorzieningen.
Om een geïnstalleerd certificaat handmatig te verwijderen in macOS, open je Sleutelhangertoegang en zoek je het certificaat. Selecteer het en verwijder het vervolgens uit de sleutelhanger. Als je een certificaat verwijdert dat nodig is om toegang tot een account of netwerk te krijgen, kan de Mac geen verbinding meer maken met deze voorzieningen.