Apple 平台部署
- 歡迎
- Apple 平台部署簡介
- 新功能
-
-
- 「輔助使用」承載資料設定
- 「Active Directory 憑證」承載資料設定
- AirPlay 承載資料設定
- 「AirPlay 安全性」承載資料設定
- AirPrint 承載資料設定
- 「App 鎖定」承載資料設定
- 「相關的網域」承載資料設定
- 「自動憑證管理環境」(ACME)承載資料
- 「自主單一 App 模式」承載資料設定
- 「行事曆」承載資料設定
- 「行動網路」承載資料設定
- 「私人行動網路」承載資料設定
- 「憑證偏好設定」承載資料設定
- 「憑證撤銷」承載資料設定
- 「憑證透明度」承載資料設定
- 「憑證」承載資料設定
- 「會議室顯示器」承載資料設定
- 「聯絡人」承載資料設定
- 「內容快取」承載資料設定
- 「目錄服務」承載資料設定
- 「DNS 代理伺服器」承載資料設定
- 「DNS 設定」承載資料設定
- Dock 承載資料設定
- 「網域」承載資料設定
- 「能源節約器」承載資料設定
- Exchange ActiveSync(EAS)承載資料設定
- Exchange Web Services(EWS)承載資料設定
- 「可延伸單一登入」承載資料設定
- 「可延伸單一登入 Kerberos」承載資料設定
- 「延伸功能」承載資料設定
- 「檔案保險箱」承載資料設定
- Finder 承載資料設定
- 「防火牆」承載資料設定
- 「字體」承載資料設定
- 「全域 HTTP 代理伺服器」承載資料設定
- 「Google 帳號」承載資料設定
- 「主畫面佈局」承載資料設定
- 識別身分承載資料設定
- 「身分偏好設定」承載資料設定
- 「核心延伸功能規則」承載資料設定
- LDAP 承載資料設定
- 「無人值守管理」承載資料設定
- 「鎖定畫面訊息」承載資料設定
- 登入視窗承載資料設定
- 「受管理登入項目」承載資料設定
- 郵件承載資料設定
- 「網路使用規則」承載資料設定
- 「通知」承載資料設定
- 「分級保護控制」承載資料設定
- 密碼承載資料設定
- 「列印」承載資料設定
- 「隱私權偏好設定規則控制」承載資料設定
- 「轉送」承載資料設定
- SCEP 承載資料設定
- 「安全性」承載資料設定
- 「設定輔助程式」承載資料設定
- 「單一登入」承載資料設定
- 「智慧卡」承載資料設定
- 「已訂閱的行事曆」承載資料設定
- 「系統延伸功能」承載資料設定
- 「系統移轉」承載資料設定
- 「時光機」承載資料設定
- 「電視遙控器」承載資料設定
- Web Clip 承載資料設定
- 「網頁內容過濾器」承載資料設定
- Xsan 承載資料設定
- 詞彙表
- 文件修改記錄
- 版權聲明
Apple 裝置的憑證管理簡介
Apple 裝置支援數位憑證識別和身分,讓你的組織能夠以簡化的方式存取內部服務。這些憑證有各式各樣的使用方式。例如,Safari 瀏覽器會檢查 X.509 數位憑證的有效性,並建立具有 256 位元 AES 加密的安全區段。這包含確認網站的身分是否合法,以及與網站之間的通訊是否受到保護,以避免私人與機密資料遭到攔截。憑證可用於確保作者或「簽名者」的身分,並可為郵件、設定描述檔及網路通訊加密。
搭配 Apple 裝置使用憑證
Apple 裝置包含許多來自各憑證管理中心(CA)預先安裝的根憑證,而 iOS、iPadOS、macOS 和 visionOS 會驗證對這些根憑證的信任。這些數位憑證可用來安全識別用戶端或伺服器,並使用公用和專用密鑰配對來加密彼此之間的通訊。憑證包含公用密鑰、用戶端(或伺服器)的相關資訊,並由 CA 所簽署(驗證)。
若 iOS、iPadOS、macOS 或 visionOS 無法驗證簽署 CA 的信任鏈,服務便會發生錯誤。自簽憑證若無與使用者互動,便無法完成驗證。如需更多資訊,請參閱 Apple 支援文章:iOS 17、iPadOS 17、macOS 14、tvOS 17 和 watchOS 10 中可用的受信任根憑證列表。
如果預先安裝的憑證遭盜用,iPhone、iPad 和 Mac 裝置可以透過無線方式(Mac 還能透過乙太網路)更新憑證。你可以使用行動裝置管理(MDM)限制「允許憑證信任設定的自動更新」來停用此功能,這樣可防止透過無線或有線網路更新憑證。
支援的識別身分類型
憑證與其相關的專用密鑰則稱為識別身分。憑證可以自由發布,但必須確保識別身分則安全。自由發布的憑證(尤其是公用密鑰)的用途為加密(僅能由符合的專用密鑰解密)。識別身分的專用密鑰部分會儲存為 PKCS #12 識別身分憑證(.p12)檔案,並以另一組由密碼保護的密鑰加密。識別身分可用於認證(如 802.1X EAP-TLS)、簽署或加密(如 S/MIME)。
Apple 裝置支援的憑證和識別身分格式如下:
憑證:.cer、.crt、.der、具有 RSA 密鑰的 X.509 憑證
識別身分:.pfx、.p12
憑證信任
若憑證已由 CA 所核發,而該 CA 的根憑證並不在受信任的根憑證列表中,iOS、iPadOS、macOS 或 visionOS 將不會信任該憑證。此情況通常發生在企業發出的 CA。若要建立信任,請使用憑證部署中所述的方式。這會在部署的憑證中設定信任來源。針對多重層級的公用密鑰基礎設施,可能不僅需要與根憑證建立信任,也需要與憑證鏈中的任何中繼憑證建立信任。通常企業信任會在單一設定描述檔中進行設定,其可視需要以你的 MDM 解決方案進行更新,而不會影響裝置上的其他服務。
iPhone、iPad 和 Apple Vision Pro 的根憑證
在未透過描述檔監管的 iPhone、iPad 或 Apple Vision Pro 上手動安裝的根憑證會顯示以下警告:「安裝憑證「憑證名稱」會將憑證加入 iPhone 或 iPad 上受信任的憑證列表。此憑證將不會受網站信任,直到你啟用『憑證信任設定』」。
使用者可以在裝置上前往「設定」>「一般」>「關於本機」>「憑證信任設定」來信任憑證。
【注意】透過 MDM 解決方案安裝或受監管裝置上的根憑證會停用更改信任設定的選項。
Mac 上的根憑證
透過設定描述檔手動安裝的憑證必須讓額外的動作執行才能完成安裝。加入描述檔後,使用者可以導覽到「設定」>「一般」>「描述檔」並選取「已下載」下方的描述檔。
使用者可以接著檢視詳細資訊、取消或按一下「安裝」來繼續。使用者可能需要提供本機管理者的使用者名稱和密碼。
【注意】在 macOS 13 或以上版本中,搭配設定描述檔手動安裝的根憑證依照預設不會對 TLS 標示為受信任。如有需要,「鑰匙圈存取」App 可用來啟用 TLS 信任。透過 MDM 解決方案安裝或受監管裝置上的根憑證會停用更改信任設定的選項,且會受信任以搭配 TLS 使用。
Mac 上的中繼憑證
系統會核發中繼憑證,並由憑證授權管理中心的根憑證簽署,這些憑證可在 Mac 上使用「鑰匙圈存取」App 加以管理。這些中繼憑證的有效期限比大部分根憑證還短,且是由組織使用,因此網頁瀏覽器會信任與中繼憑證相關聯的網站。使用者可在「鑰匙圈存取」中查看系統鑰匙圈來找到過期的中繼憑證。
Mac 上的 S/MIME 憑證
如果使用者從鑰匙圈中刪除任何 S/MIME 憑證,就不能再查看先前使用這些憑證加密的電子郵件。