Dystrybucja certyfikatów na urządzeniach Apple
Istnieje możliwość ręcznego udostępniania certyfikatów iPhone'om, iPadom oraz Apple Vision Pro. Gdy użytkownicy otrzymują certyfikat, mogą stuknąć, aby wyświetlić jego zawartość, a następnie stuknąć ponownie, aby dodać certyfikat do urządzenia. Po zainstalowaniu certyfikatu tożsamości użytkownicy muszą podać hasło chroniące dany certyfikat. Jeśli nie można potwierdzić autentyczności certyfikatu, wyświetlany jest on jako „niezaufany”, a użytkownik może zdecydować, czy chce dodać go do swojego urządzenia.
Certyfikaty można udostępniać komputerom Mac ręcznie. Gdy użytkownicy otrzymują certyfikat, klikają w niego dwukrotnie, aby otworzyć Dostęp do pęku kluczy i wyświetlić zawartość. Jeśli certyfikat spełnia oczekiwania, użytkownicy mogą zaznaczyć żądany pęk kluczy i kliknąć w przycisk Dodaj. Większość certyfikatów użytkownika musi zostać zainstalowana w pęku kluczy Logowanie. Po zainstalowaniu certyfikatu tożsamości użytkownicy muszą podać hasło chroniące dany certyfikat. Jeśli nie można potwierdzić autentyczności certyfikatu, wyświetlany jest on jako „niezaufany”, a użytkownik może zdecydować, czy chce dodać go do swojego Maca.
Na komputerach Mac niektóre certyfikaty mogą być odnawiane automatycznie.
Metody wdrażania certyfikatów przy użyciu pakietów danych MDM
Poniższa tabela zawiera różne pakiety danych umożliwiające wdrażanie certyfikatów przy użyciu profili konfiguracji. Obejmuje to między innymi pakiet danych Active Directory Certificate, pakiet danych Certificate (dla certyfikatu tożsamości PKCS #12), pakiet danych Automated Certificate Management Environment (ACME) oraz pakiet danych Simple Certificate Enrollment Protocol (SCEP).
Pakiet danych | Obsługiwane systemy operacyjne i kanały: | Opis | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Pakiet danych Active Directory Certificate | macOS (urządzenie) macOS (użytkownik) | Skonfigurowanie pakietu danych Active Directory Certificate powoduje, że macOS wysyła żądanie podpisania certyfikatu bezpośrednio do urzędu certyfikacji serwera usług certyfikatów Active Directory, używając protokołu zdalnego wywoływania procedur. Możesz rejestrować tożsamości komputerów przy użyciu danych uwierzytelniania obiektu danego komputera Mac w Active Directory. Użytkownicy mogą podawać swoje dane uwierzytelniania w ramach procesu rejestracji, aby dostarczać osobne tożsamości. Użycie tego pakietu danych zapewnia administratorom dodatkową kontrolę nad użyciem klucza prywatnego oraz szablon certyfikatu rejestracji. Podobnie jak w przypadku protokołu SCEP, klucz prywatny pozostaje na urządzeniu. | |||||||||
Pakiet danych ACME | iOS iPadOS Wspólny iPad (urządzenie) macOS (urządzenie) macOS (użytkownik) tvOS watchOS 10 visionOS 1.1 | Urządzenie pobiera certyfikaty z urzędu certyfikacji dla urządzeń Apple zarejestrowanych w rozwiązaniu MDM. Dzięki tej technice klucz prywatny pozostaje tylko na danym urządzeniu i opcjonalnie może być powiązany sprzętowo z tym urządzeniem. | |||||||||
Pakiet danych Certificates (dla certyfikatu tożsamości PKCS #12) | iOS iPadOS Wspólny iPad (urządzenie) macOS (urządzenie) macOS (użytkownik) tvOS watchOS 10 visionOS 1.1 | Jeśli tożsamość jest dostarczana do urządzenia w imieniu użytkownika lub urządzenia, może zostać spakowana jako plik PKCS #12 (.p12 lub .pfx) i być chroniona hasłem. Jeśli pakiet zawiera hasło, tożsamość taka może zostać zainstalowana bez udziału użytkownika. | |||||||||
Pakiet danych SCEP | iOS iPadOS Wspólny iPad (urządzenie) macOS (urządzenie) macOS (użytkownik) tvOS watchOS 10 visionOS 1.1 | Urządzenie składa żądanie podpisania certyfikatu bezpośrednio na serwerze rejestracyjnym. Dzięki tej technice klucz prywatny pozostaje tylko na danym urządzeniu. | |||||||||
W celu powiązania usług z określoną tożsamością należy skonfigurować pakiet danych ACME, pakiet danych SCEP lub pakiet danych certyfikatu, a następnie skonfigurować określoną usługę w tym samym profilu konfiguracji. Na przykład, można skonfigurować pakiet danych SCEP w celu poświadczania tożsamości dla urządzenia oraz umieścić w tym samym profilu konfiguracji pakiet danych Wi-Fi, konfigurujący dostęp do sieci zabezpieczonej przy użyciu protokołów WPA2 Enterprise/EAP-TLS, używający certyfikatu urządzenia generowanego przez rejestrację wynikającą z użycia pakietu danych SCEP.
W celu powiązania usług z określoną tożsamością w systemie macOS należy skonfigurować pakiet danych Active Directory Certificate, pakiet danych ACME, pakiet danych SCEP lub pakiet danych certyfikatu, a następnie skonfigurować określoną usługę w tym samym profilu konfiguracyjnym. Na przykład, można skonfigurować pakiet danych Active Directory Certificate w celu poświadczania tożsamości dla urządzenia oraz umieścić w tym samym profilu konfiguracyjnym pakiet danych Wi‑Fi, konfigurujący dostęp do sieci zabezpieczonej przy użyciu protokołów WPA2 Enterprise/EAP‑TLS, używający certyfikatu urządzenia generowanego przez rejestrację wynikającą z użycia pakietu danych Active Directory Certificate.
Odnawianie certyfikatów zainstalowanych przy użyciu profili konfiguracji
Certyfikaty wdrożone przy użyciu rozwiązania MDM powinny być odnawiane przed ich wygaśnięciem, aby zapewnić stały dostęp do usług. W tym celu rozwiązania MDM mogą wysyłać zapytania o zainstalowane certyfikaty, sprawdzać daty ich wygaśnięcia oraz wysyłać nowy profil lub konfigurację przed upływem czasu wygaśnięcia certyfikatów.
W przypadku certyfikatów Active Directory, gdy certyfikaty tożsamości są wdrażane jako część profilu urządzenia, domyślnym zachowaniem w systemie macOS 13 lub nowszym jest odnawianie automatyczne. Administratorzy mogą ustawić preferencje systemowe, aby zmienić to zachowanie. Aby uzyskać więcej informacji, zapoznaj się z artykułem Wsparcia Apple Automatyczne odnawianie certyfikatów dostarczonych przez profil konfiguracji.
Instalowanie certyfikatów przy użyciu aplikacji Poczta lub Safari
Możesz wysłać certyfikat jako załącznik wiadomości email lub umieścić go w bezpiecznej witrynie internetowej, skąd użytkownicy mogą go pobrać na swoje urządzenia Apple.
Usuwanie i unieważnianie certyfikatów
Rozwiązanie MDM pozwala na wyświetlanie wszystkich certyfikatów na danym urządzeniu oraz usuwanie certyfikatów przez nie zainstalowanych.
Obsługiwany jest także protokół OCSP (Online Certificate Status Protocol), pozwalający na sprawdzanie statusu certyfikatów. Gdy używany jest certyfikat obsługujący OCSP, systemy iOS, iPadOS, macOS oraz visionOS okresowo sprawdzają ważność tego certyfikatu, aby upewnić się, że nie został odwołany.
Aby wycofywać certyfikaty przy użyciu profilu konfiguracji, zobacz: Ustawienia obsługiwanego przez MDM pakietu danych Certificate Revocation.
Aby ręcznie usunąć certyfikat zainstalowany w systemie iOS, iPadOS oraz visionOS 1.1 lub nowszym, otwórz Ustawienia, wybierz Ogólne > Zarządzanie urządzeniami, wybierz profil, stuknij w Szczegóły, a następnie stuknij w dany certyfikat, aby go usunąć. Jeśli usuniesz certyfikat wymagany do uzyskiwania dostępu do konta lub sieci, iPhone, iPad lub Apple Vision Pro nie będzie mógł łączyć się z tymi usługami.
Aby ręcznie usunąć certyfikat zainstalowany w systemie macOS, uruchom aplikację Dostęp do pęku kluczy, a następnie wyszukaj certyfikat. Zaznacz go, a następnie usuń go z pęku kluczy. Jeśli usuniesz certyfikat wymagany do uzyskiwania dostępu do konta lub sieci, Mac nie będzie mógł łączyć się z tymi usługami.