Apple 平台部署
- 欢迎使用
- Apple 平台部署介绍
- 新功能
-
-
- 辅助功能有效负载设置
- “Active Directory 证书”有效负载设置
- “隔空播放”有效负载设置
- “隔空播放安全性”有效负载设置
- “隔空打印”有效负载设置
- “App 锁定”有效负载设置
- “关联域”有效负载设置
- “自动化证书管理环境” (ACME) 有效负载设置
- “自治单 App 模式”有效负载设置
- “日历”有效负载设置
- “蜂窝网络”有效负载设置
- “蜂窝专用网络”有效负载设置
- “证书偏好设置”有效负载设置
- “证书撤销”有效负载设置
- “证书透明度”有效负载设置
- “证书”有效负载设置
- “会议室显示器”有效负载设置
- “通讯录”有效负载设置
- “内容缓存”有效负载设置
- “目录服务”有效负载设置
- “DNS 代理”有效负载设置
- “DNS 设置”有效负载设置
- “程序坞”有效负载设置
- “域”有效负载设置
- “节能”有效负载设置
- Exchange ActiveSync (EAS) 有效负载设置
- Exchange 网络服务 (EWS) 有效负载设置
- “可扩展单点登录”有效负载设置
- “可扩展单点登录 Kerberos”有效负载设置
- “扩展”有效负载设置
- “文件保险箱”有效负载设置
- “访达”有效负载设置
- “防火墙”有效负载设置
- “字体”有效负载设置
- “全局 HTTP 代理”有效负载设置
- “谷歌账户”有效负载设置
- “主屏幕布局”有效负载设置
- 身份有效负载设置
- “身份偏好设置”有效负载设置
- “内核扩展策略”有效负载设置
- LDAP 有效负载设置
- “无人值守管理”有效负载设置
- “锁屏信息”有效负载设置
- 登录窗口有效负载设置
- “管理式登录项”有效负载设置
- 邮件有效负载设置
- “网络使用规则”有效负载设置
- “通知”有效负载设置
- “家长控制”有效负载设置
- “密码”有效负载设置
- “打印”有效负载设置
- “隐私偏好设置策略控制”有效负载设置
- “中继”有效负载设置
- SCEP 有效负载设置
- “安全性”有效负载设置
- “设置助理”有效负载设置
- “单点登录”有效负载设置
- “智能卡”有效负载设置
- “已订阅的日历”有效负载设置
- “系统扩展”有效负载设置
- “系统迁移”有效负载设置
- “时间机器”有效负载设置
- “电视遥控器”有效负载设置
- Web Clip 有效负载设置
- “网页内容过滤器”有效负载设置
- Xsan 有效负载设置
- 词汇表
- 文稿修订历史
- 版权
针对 Apple 设备的“自动化证书管理环境” (ACME) MDM 有效负载设置
你可以为移动设备管理 (MDM) 解决方案中注册的 Apple 设备配置“ACME 证书”有效负载以从证书颁发机构 (CA) 获取证书。ACME 是 SCEP 的新替代协议,是用于请求和安装证书的协议。使用“管理式设备证明”时要求使用 ACME。
“ACME 证书”有效负载支持以下选项。有关更多信息,请参阅有效负载信息。
支持的有效负载标识符:com.apple.security.acme
支持的操作系统和通道:iOS、iPadOS、“共享 iPad”设备、macOS 设备、macOS 用户、Apple tvOS、watchOS 10、visionOS 1.1。
支持的注册类型:用户注册、设备注册、自动设备注册。
允许的重复项:True:可将多个“ACME 证书”有效负载发送给某台设备。
你可以为“ACME 证书”有效负载使用下表中的设置。
设置 | 描述 | 必需 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
客户端标识符 | 识别一台特定设备的唯一字符串。服务器可能会将此标识符用作反重放值以防止签发多个证书。此标识符还会向 ACME 服务器指示,该设备可以访问由企业基础架构签发的有效客户端标识符。这可帮助 ACME 服务器确定是否信任该设备。不过这是一个相对弱的指示,因为存在攻击者截获客户端标识符的风险。 | 是 | |||||||||
URL | ACME 服务器的地址,包括 https://。 | 是 | |||||||||
扩展密钥使用 | 值为字符串数组。每个字符串为一个使用点分表示法的 OID(对象标识符)。例如,[“1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] 表示客户端认证和电子邮件保护。 | 否 | |||||||||
HardwareBound | 如果添加,专用密钥会与设备绑定。安全隔区会生成密钥对,专用密钥会与系统密钥以加密方式配合使用。这可防止系统导出专用密钥。 如果添加,KeyType 必须是 ECSECPrimeRandom,KeySize 必须是 256 或 384。) | 是 | |||||||||
密钥类型 | 生成的密钥对类型:
| 是 | |||||||||
密钥大小 | KeySize 的有效值取决于 KeyType 和 HardwareBound 的值。 | 是 | |||||||||
主题 | 设备请求此主题以获取 ACME 服务器颁发的证书。ACME 服务器可能会在其颁发的证书中覆盖或忽略此字段。表示为 OID 数组和值的 X.500 名称的描述。例如,/C=US/O=Apple Inc./CN=foo/1.2.5.3=bar,将被转换为:[ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | 否 | |||||||||
主题备用名称类型 | 指定 ACME 服务器备用名称的类型。类型包括“RFC 822 名称”、“DNS 名称”和“统一资源标识符 (URI)”。这可以是“统一资源定位符 (URL)”、“统一资源名称 (URN)”或两者。 | 否 | |||||||||
用途旗标 | 此值为位域。 Bit 0x01 表示数字签名。 Bit 0x10 表示密钥协议。 设备请求此密钥以获取 ACME 服务器签发的证书。ACME 服务器可能会在其颁发的证书中覆盖或忽略此字段。 | 否 | |||||||||
证明 | 如果为 true,则设备会向 ACME 服务器提供描述设备和生成的密钥的证明。服务器可使用该证明来有力地证明密钥已与设备绑定,并且设备具有该证明中所列的属性。服务器可将该证明用作信任分的一部分,以决定是否要签发请求的证书。 当“证明”为 true 时,HardwareBound 也一定为 true。 | 否 | |||||||||
【注】每个 MDM 供应商对这些设置的执行情况不同。若要了解如何将“ACME 证书”各种设置应用到你的设备,请参阅 MDM 供应商文稿。