Apple 平台部署
- 欢迎使用
- Apple 平台部署介绍
- 新功能
-
-
- 辅助功能有效负载设置
- “Active Directory 证书”有效负载设置
- “隔空播放”有效负载设置
- “隔空播放安全性”有效负载设置
- “隔空打印”有效负载设置
- “App 锁定”有效负载设置
- “关联域”有效负载设置
- “自动化证书管理环境” (ACME) 有效负载设置
- “自治单 App 模式”有效负载设置
- “日历”有效负载设置
- “蜂窝网络”有效负载设置
- “蜂窝专用网络”有效负载设置
- “证书偏好设置”有效负载设置
- “证书撤销”有效负载设置
- “证书透明度”有效负载设置
- “证书”有效负载设置
- “会议室显示器”有效负载设置
- “通讯录”有效负载设置
- “内容缓存”有效负载设置
- “目录服务”有效负载设置
- “DNS 代理”有效负载设置
- “DNS 设置”有效负载设置
- “程序坞”有效负载设置
- “域”有效负载设置
- “节能”有效负载设置
- Exchange ActiveSync (EAS) 有效负载设置
- Exchange 网络服务 (EWS) 有效负载设置
- “可扩展单点登录”有效负载设置
- “可扩展单点登录 Kerberos”有效负载设置
- “扩展”有效负载设置
- “文件保险箱”有效负载设置
- “访达”有效负载设置
- “防火墙”有效负载设置
- “字体”有效负载设置
- “全局 HTTP 代理”有效负载设置
- “谷歌账户”有效负载设置
- “主屏幕布局”有效负载设置
- 身份有效负载设置
- “身份偏好设置”有效负载设置
- “内核扩展策略”有效负载设置
- LDAP 有效负载设置
- “无人值守管理”有效负载设置
- “锁屏信息”有效负载设置
- 登录窗口有效负载设置
- “管理式登录项”有效负载设置
- 邮件有效负载设置
- “网络使用规则”有效负载设置
- “通知”有效负载设置
- “家长控制”有效负载设置
- “密码”有效负载设置
- “打印”有效负载设置
- “隐私偏好设置策略控制”有效负载设置
- “中继”有效负载设置
- SCEP 有效负载设置
- “安全性”有效负载设置
- “设置助理”有效负载设置
- “单点登录”有效负载设置
- “智能卡”有效负载设置
- “已订阅的日历”有效负载设置
- “系统扩展”有效负载设置
- “系统迁移”有效负载设置
- “时间机器”有效负载设置
- “电视遥控器”有效负载设置
- Web Clip 有效负载设置
- “网页内容过滤器”有效负载设置
- Xsan 有效负载设置
- 词汇表
- 文稿修订历史
- 版权
Apple 设备证书管理介绍
Apple 设备支持数字证书和身份,从而使组织可以简便地访问企业服务。这些证书有多种用途。例如,Safari 浏览器可以检查 X.509 数字证书的有效性,并使用最多 256 位的 AES 加密建立安全会话。这包括确保网站的身份合法,且与网站的通信受到保护,从而避免个人或机密数据遭到拦截。证书还可用于保证作者或“签名者”身份的真实性,同时用于邮件、配置描述文件和网络通信的加密。
配合 Apple 设备使用证书
Apple 设备包含一系列预安装的根证书,它们来自不同的证书颁发机构 (CA),同时 iOS、iPadOS、macOS 和 visionOS 会验证这些根证书的可信度。这些数字证书可用于安全地识别客户端或服务器,以及利用公用和专用密钥对加密它们之间的通信。证书包括公共密钥、客户端(或服务器)信息,并且由 CA 进行签名(验证)。
如果 iOS、iPadOS、macOS 或 visionOS 无法验证签名 CA 的信任链,服务将出错。自签名证书需要与用户交互才能验证。有关更多信息,请参阅 Apple 支持文章:iOS 17、iPadOS 17、macOS 14、Apple tvOS 17 和 watchOS 10 中可用受信任根证书的列表。
一旦任何预安装的根证书遭到破坏,iPhone、iPad 和 Mac 设备可通过无线方式(Mac 可通过以太网)更新证书。你可以使用移动设备管理 (MDM) 访问限制“允许自动更新证书信任设置”来停用此功能,以阻止通过无线或有线网络进行证书更新。
支持的身份类型
证书及其关联的专用密钥称为身份。证书可以自由分发,但身份必须安全地保存。自由分发的证书(特别是其公共密钥)用于加密,且仅能通过匹配的专用密钥进行解密。身份的专用密钥部分储存为 PKCS #12 身份证书 (.p12) 文件,并通过由密码短语所保护的另一个密钥进行加密。身份可用于认证(如 802.1X EAP-TLS)、签名或加密(如 S/MIME)。
Apple 设备支持的证书和身份格式包括:
证书:.cer、.crt、.der、带有 RSA 密钥的 X.509 证书
身份:.pfx、.p12
证书信任
如果签发证书的 CA 的根不在可信根证书列表中,iOS、iPadOS、macOS 或 visionOS 将不会信任该证书。企业签发的 CA 经常遇到这种情况。若要建立信任,请采用证书部署中所述的方法。这会在被部署的证书上设定信任锚点。对于多级公共密钥基础结构而言,可能不仅需要与根证书建立信任,还需要与信任链中的任意中级证书建立信任。通常,企业信任在单个配置描述文件中配置,该配置描述文件可以根据需要通过 MDM 解决方案更新,同时不会影响设备上的其他服务。
iPhone、iPad 和 Apple Vision Pro 上的根证书
通过描述文件在未被监督的 iPhone、iPad 或 Apple Vision Pro 上手动安装的根证书将显示以下警告:“若安装证书‘证书的名称’,此证书将被添加到 iPhone 或 iPad 上受信任证书的列表中。只有在‘证书信任设置’中启用,网站才会信任此证书。”
之后用户可以在设备上前往“设置”>“通用”>“关于本机”>“证书信任设置”来信任该证书。
【注】通过 MDM 解决方案安装的根证书或者在被监督的设备上安装的根证书会停用更改信任设置的选项。
Mac 上的根证书
通过配置描述文件手动安装的证书必须执行额外操作才能完成安装。描述文件添加后,用户可导航到“设置”>“通用”>“描述文件”,并在“已下载”下方选择描述文件。
然后用户可检查详细信息、取消或点按“安装”以继续。用户可能需要提供本地管理员的用户名和密码。
【注】在 macOS 13 或更高版本中,使用配置描述文件手动安装的根证书不会默认标记为受 TLS 信任。如有需要,“钥匙串访问” App 可用于启用 TLS 信任。通过 MDM 解决方案安装或在被监督的设备上安装的根证书会停用更改信任设置的选项,并被信任以与 TLS 配合使用。
Mac 上的中间证书
中间证书由证书颁发机构的根证书颁发并签名,可在 Mac 上使用“钥匙串访问” App 进行管理。这类中间证书的有效期比大多数根证书的更短且由组织使用,所以网页浏览器信任与中间证书关联的网站。用户可以通过在“钥匙串访问”中查看系统钥匙串来查找过期的中间证书。
Mac 上的 S/MIME 证书
如果用户从其钥匙串中删除了任何 S/MIME 证书,则无法再阅读之前使用这些证书加密的电子邮件。