Seting muat beban MDM Persekitaran Pengurusan Sijil Diautomasikan (ACME) untuk peranti Apple
Anda boleh mengkonfigurasikan muat beban Sijil ACME untuk memperoleh sijil daripada autoriti sijil (CA) untuk peranti Apple yang didaftarkan dalam penyelesaian pengurusan peranti mudah alih (MDM). ACME ialah alternatif moden kepada SCEP. Ia adalah protokol untuk meminta dan memasang sijil. Penggunaan ACME diperlukan apabila menggunakan Pengakusaksian Peranti Terurus.
Muat beban Sijil ACME menyokong yang berikut. Untuk mendapatkan maklumat lanjut, lihat Maklumat muat beban.
Pengecam muat beban disokong: com.apple.security.acme
Sistem dan saluran pengendalian disokong: iOS, iPadOS, peranti iPad Dikongsi, peranti macOS, pengguna macOS, tvOS, watchOS 10, visionOS 1.1.
Jenis pendaftaran disokong: Pendaftaran Pengguna, Pendaftaran Peranti, Pendaftaran Peranti Diautomasikan.
Duplikasi dibenarkan: Benar—lebih daripada satu muat beban Sijil ACME boleh dihantar kepada peranti.
Anda boleh menggunakan seting dalam jadual di bawah dengan muat beban Sijil ACME.
Seting | Perihalan | Diperlukan | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Pengecam klien | Rentetan unik mengecam peranti khusus. Pelayan mungkin menggunakan ini sebagai nilai anti main semula untuk mencegah mengeluarkan berbilang sijil. Pengecam ini juga menunjukkan kepada pelayan ACME bahawa peranti mempunyai akses kepada pengecam klien sah yang dikeluarkan oleh infrastruktur perusahaan. Ini boleh membantu pelayan ACME menentukan sama ada untuk mempercayai peranti. Walau bagaimanapun ini adalah petunjuk yang agak lemah kerana risiko penyerang boleh mengganggu pengecam klien. | Ya | |||||||||
URL | Alamat pelayan ACME, termasuk https://. | Ya | |||||||||
Penggunaan Kunci Lanjutan | Nilai ialah tatasusunan rentetan. Setiap rentetan ialah OID dalam notasi bertitik. Contohnya, [”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] menunjukkan pengesahan klien dan perlindungan e-mel. | Tidak | |||||||||
HardwareBound | Jika ditambah, kunci peribadi terikat kepada peranti. Secure Enclave menjana pasangan kunci dan kunci peribadi terikat dengan kunci sistem secara kriptografi. Ini mencegah sistem daripada mengeksport kunci peribadi. Jika ditambah, KeyType mesti ECSECPrimeRandom dan KeySize mesti 256 atau 384.) | Ya | |||||||||
Jenis kunci | Jenis pasangan kunci untuk dijanakan:
| Ya | |||||||||
Saiz kunci | Nilai sah untuk KeySize bergantung kepada nilai KeyType dan HardwareBound. | Ya | |||||||||
Subjek | Peranti meminta subjek ini untuk sijil yang pelayan ACME keluarkan. Pelayan ACME mungkin menggantikan atau mengabaikan medan ini dalam sijil yang ia keluarkan. Perwakilan nama X.500 dipersembahkan sebagai tatasusunan OID dan nilai. Sebagai contoh, /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, yang diterjemahkan ke: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | Tidak | |||||||||
Jenis Nama Alternatif Subjek | Tentukan jenis nama alternatif untuk pelayan ACME. Jenis adalah Nama RFC 822, Nama DNS dan Pengecam Sumber Seragam (URI). Ini mungkin Pencari Sumber Seragam (URL), Nama Sumber Seragam (URN), atau kedua-duanya. | Tidak | |||||||||
Bendera Penggunaan | Nilai ini ialah medan bit. Bit 0x01 menandakan tandatangan digital. Bit 0x10 menandakan perjanjian kunci. Peranti meminta kunci ini untuk sijil yang pelayan ACME keluarkan. Pelayan ACME mungkin menggantikan atau mengabaikan medan ini dalam sijil yang ia keluarkan. | Tidak | |||||||||
Aku Saksi | Jika benar, peranti memberikan pengakusaksian yang menerangkan peranti dan kunci yang dijanakan kepada pelayan ACME. Pelayan boleh menggunakan pengakusaksian sebagai bukti kukuh yang kunci terikat ke peranti dan peranti mempunyai sifat yang disenaraikan dalam pengakusaksian. Pelayan boleh menggunakan itu sebagai sebahagian daripada skor kepercayaan untuk menentukan sama ada untuk mengeluarkan sijil yang diminta. Apabila Aku Saksi benar, HardwareBound juga mestilah benar. | Tidak | |||||||||
Nota: Setiap vendor MDM melaksanakan seting ini secara berbeza. Untuk mengetahui cara pelbagai seting Sijil ACME digunakan pada peranti anda, rujuk dokumentasi vendor MDM anda.