MDM-innstillinger for Automated Certificate Management Environment (ACME)-nyttelasten for Apple-enheter
Du kan konfigurere ACME Certificate-nyttelasten for å hente sertifikater fra en sertifikatautoritet (CA) for Apple-enheter som er registrert i en MDM-løsning. ACME er et moderne alternativ til SCEP. Det er en protokoll for å sende forespørsler om og installere sertifikater. Bruk av ACME kreves ved bruk av administrert enhetsattestering.
ACME Certificate-nyttelasten støtter følgende. Du finner mer informasjon om dette under Nyttelastinformasjon.
Støttet nyttelastidentifikator: com.apple.security.acme
Støttede operativsystemer og kanaler: iOS, iPadOS, Delt iPad-enhet, macOS-enhet, macOS-bruker, tvOS, watchOS 10, visionOS 1.1.
Støttede registreringstyper: Brukerregistrering, enhetsregistrering, automatisert enhetsregistrering.
Duplikater tillatt: True – flere enn én ACME Certificate-nyttelast kan leveres til en enhet.
Du kan bruke innstillingene i tabellen under med ACME Certificate-nyttelasten.
Innstilling | Beskrivelse | Påkrevd | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Client identifier | En unik streng som identifiserer en bestemt enhet. Tjeneren kan bruke denne som en anti-repetisjonsverdi for å forhindre at flere sertifikater utstedes. Identifikatoren indikerer også til ACME-tjeneren at enheten har tilgang til en gyldig klientidentifikator utstedt av bedriftsinfrastrukturen. Dette kan hjelpe ACME-tjeneren med å avgjøre om den skal godkjenne enheten. Dette er likevel en relativt svak indikasjon på grunn av risikoen for at en angriper kan avskjære klientidentifikatoren. | Ja | |||||||||
URL | Adressen til ACME-tjeneren, inkludert https://. | Ja | |||||||||
Extended Key Usage | Verdien er en matrise av strenger. Hver streng er en OID i prikket notasjon. For eksempel indikerer [”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] klientautentisering og e-postbeskyttelse. | Nei | |||||||||
HardwareBound | Hvis lagt til, er den private nøkkelen bundet til enheten. Secure Enclave genererer nøkkelparet og den private nøkkelen blir kryptografisk integrert med en systemnøkkel. Dette forhindrer at systemet eksporterer den private nøkkelen. Hvis lagt til, må KeyType være ECSECPrimeRandom og KeySize må være 256 eller 384.) | Ja | |||||||||
Key type | Nøkkelpartypen som skal genereres:
| Ja | |||||||||
Key size | Gyldige verdier for KeySize avhenger av verdiene for KeyType og HardwareBound. | Ja | |||||||||
Subject | Enheten krever dette fir sertifikatet som ACME-tjeneren utsteder. ACME-tjeneren kan overstyre eller ignorere dette feltet i sertifikatet det utsteder. Representasjonen av et X.500-navn representert som en rekke med OID og verdi. For eksempel, /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, som oversettes til: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | Nei | |||||||||
Subject Alternative Name Type | Angi typen for et alternativt navn for ACME-tjeneren. Typer er RFC 822 Name, DNS Name, og Uniform Resource Identifier (URI). Dette kan være Uniform Resource Locator (URL), Uniform Resource Name (URN) eller begge. | Nei | |||||||||
Usage Flags | Denne verdien er et bit-felt. Bit 0x01 indikerer digital signatur. Bit 0x10 indikerer nøkkelavtale. Enheten forespør denne nøkkelen for sertifikatet som ACME-tjeneren utsteder. ACME-tjeneren kan overstyre eller ignorere dette feltet i sertifikatet det utsteder. | Nei | |||||||||
Attest | Hvis sann (true), sender enheten attesteringer som beskriver enheten og den genererte nøkkelen, til ACME-tjeneren. Tjeneren kan bruke attesteringene som pålitelig bevis på at nøkkelen er knyttet til enheten og at enheten har egenskapene sine oppført i attesteringen. Tjeneren kan bruke det som en del av godkjenningen for å bestemme om det forespurte sertifikatet skal utstedes. Når Attest er sann, må HardwareBound også være sann. | Nei | |||||||||
Merk: Disse innstillingene implementeres på ulike måter av de forskjellige MDM-leverandørene. Slå opp i MDM-leverandørens egen dokumentasjon for å finne ut hvordan ulike innstillinger for ACME Certificate brukes på enhetene dine.