Položky nastavení MDM v datové části SCEP pro zařízení Apple
Pro zařízení Apple zaregistrovaná ve službě správy mobilních zařízení (MDM) můžete konfigurovat nastavení SCEP pro získávání certifikátů od certifikační autority (CA). V datové části SCEP můžete nastavit parametry, které umožní zařízením získat certifikáty od certifikační autority (CA) s použitím protokolu SCEP (Simple Certificate Enrollment Protocol).
Datová část SCEP podporuje následující položky. Další informace najdete v části Informace o datových částech. Seznam proměnných SCEP viz Nastavení proměnných pro datové části MDM pro zařízení Apple.
Podporovaný identifikátor datové části: com.apple.security.scep
Podporované operační systémy a kanály: Systémy iOS, iPadOS, sdílený iPad (zařízení), macOS zařízení, uživatel systému macOS, systémy tvOS, watchOS 10, visionOS 1.1
Podporované typy registrace: registrace uživatelů, registrace zařízení, automatická registrace zařízení.
Povolení duplikátů: Ano – jeden uživatel nebo zařízení může obdržet více datových částí SCEP.
V datové části SCEP lze použít položky nastavení uvedené v následující tabulce.
Nastavení | Popis | Povinná | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
URL | Adresa serveru SCEP. | Ano | |||||||||
Name | Název – libovolný řetězec, který dokáže certifikační autorita rozpoznat. Může sloužit k rozlišování mezi různými instancemi. | Ne | |||||||||
Subject | Subjekt – reprezentace názvu X.500 v podobě pole tvořeného položkou OID a hodnotou. Příklad: /C=US/O=Apple Inc. /CN=foo/1.2.5.3=bar, což lze přeložit jako: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | Ne | |||||||||
Subject Alternative Name Type | Určuje typ alternativního názvu pro server SCEP. Typy jsou následující: název RFC 822, název DNS nebo identifikátor URI (Uniform Resource Identifier). Může se jednat o adresu URL (Uniform Resource Locator), název URN (Uniform Resource Name), nebo obojí. | Ne | |||||||||
Subject Alternative Name Value | Hodnota alternativního názvu subjektu. | Ne | |||||||||
NT Principal Name | Hlavní název, který se má použít v žádosti o certifikát (volitelné.) | Ne | |||||||||
Retries | Počet opakování dotazů na server SCEP ohledně podepsaného certifikátu, než bude tato činnost považována za neúspěšnou. | Ne | |||||||||
Retry Delay | Doba prodlevy mezi jednotlivými pokusy při dotazování (v sekundách). | Ne | |||||||||
Challenge | Předem sdílený tajný klíč, který server SCEP používá k identifikaci požadavku nebo uživatele. | Ne | |||||||||
Certificate expiration notification threshold (macOS) | Udává, s kolikadenním předstihem má certifikát začít zobrazovat upozornění na vypršení platnosti. | Ne | |||||||||
Key size | Vyberte velikost klíče (v bitech) a přípustné použití klíče (pomocí zaškrtávacích políček pod tímto polem). Na výběr jsou hodnoty 1024, 2048 a 4096. | Ne | |||||||||
Key usage | Vyberte, ke kterým z následujících účelů chcete klíč používat:
| Ne | |||||||||
Fingerprint | Pokud vaše CA používá protokol HTTP, můžete v tomto poli zadat otisk certifikátu CA, pomocí nějž zařízení potvrzuje pravost odezvy certifikační autority během registrace. Můžete zadat otisk prstu SHA1 nebo MD5 nebo vybrat certifikát, ze kterého se má podpis importovat. | Ne | |||||||||
Allow export from the Keychain (macOS) | Povoluje export soukromého klíče z klíčenky. | Ne | |||||||||
Allow access to all apps (macOS) | Povoluje přístup k certifikátu ve svazku klíčů všem aplikacím. Poznámka: V systému macOS je tento klíč nutné použít, pokud chceme umožnit ověřování pomocí certifikátu VPN agentovi od nezávislého dodavatele. Datová část certifikátu musí být obsažena ve stejném profilu jako datová část SCEP. | Ne | |||||||||
Poznámka: Implementace těchto položek nastavení se u různých dodavatelů MDM liší. Informace o tom, jak se položky nastavení SCEP uplatní u vašich zařízení a uživatelů, najdete v dokumentaci od dodavatele služby MDM.