Distribuirea certificatelor către dispozitivele Apple
Puteți distribui manual certificate pe dispozitivele iPhone, iPad și Apple Vision Pro. Atunci când utilizatorii primesc un certificat, apasă pe acesta pentru a revedea conținutul, apoi apasă pentru a adăuga certificatul la dispozitiv. După instalarea unui certificat de identitate, utilizatorii sunt solicitați să introducă parola care îl protejează. Dacă autenticitatea unui certificat nu poate fi verificată, acesta este indicat ca nefiind de încredere și utilizatorul poate decide dacă să-l adauge sau nu la dispozitiv.
Puteți distribui manual certificatele către computerele Mac. Atunci când utilizatorii primesc un certificat, fac dublu clic pe acesta pentru a deschide Acces portchei și pentru a-i analiza conținutul. Dacă certificatul corespunde așteptărilor, utilizatorii selectează portcheiul dorit și fac clic pe butonul Adaugă. Majoritatea certificatelor de utilizator trebuie instalate în portcheiul de login. După instalarea unui certificat de identitate, utilizatorii sunt solicitați să introducă parola care îl protejează. Dacă autenticitatea unui certificat nu poate fi verificată, acesta este indicat ca nefiind de încredere și utilizatorul poate decide dacă să-l adauge sau nu la Mac.
Anumite identități de certificate pot fi reînnoite automat pe computerele Mac.
Metode de implementare a certificatelor folosind sarcini MDM
Tabelul următor prezintă diferitele sarcini pentru implementarea certificatelor folosind profiluri de configurare. Acestea includ sarcina Certificat Active Directory, sarcina Certificat (pentru un certificat de identitate PKCS #12), sarcina Mediu de gestionare automată a certificatelor (ACME) și sarcina Protocol de înrolare simplă a certificatului (SCEP).
Sarcină | Sisteme de operare și canale compatibile | Descriere | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Sarcina Certificat Active Directory | Dispozitiv macOS Utilizator macOS | Configurând sarcina Certificat Active Directory, macOS plasează o solicitare de semnare a unui certificat direct pe un server Active Directory Certificate Services emitent de CA printr-un apel de procedură de la distanță. Puteți înscrie identitățile mașinii utilizând acreditările obiectului computerului Mac din Active Directory. Utilizatorii pot furniza acreditările acestora ca parte a procesului de înscriere, pentru a aproviziona identitățile individuale. Utilizând această sarcină, administratorii au control suplimentar asupra modului de utilizare a cheii private și a șablonului de certificat pentru înscriere. În cazul SCEP, cheia privată rămâne pe dispozitiv. | |||||||||
Sarcina ACME | iOS iPadOS Dispozitiv iPad partajat Dispozitiv macOS Utilizator macOS tvOS watchOS 10 visionOS 1.1 | Dispozitivul obține certificate de la o autoritate de certificare pentru dispozitivele Apple înscrise într-o soluție MDM. Utilizând această tehnică, cheia privată rămâne doar pe dispozitiv și poate fi opțional legată prin hardware la dispozitiv. | |||||||||
Sarcina Certificate (pentru un certificat de identitate PKCS #12) | iOS iPadOS Dispozitiv iPad partajat Dispozitiv macOS Utilizator macOS tvOS watchOS 10 visionOS 1.1 | Dacă identitatea este descărcată de pe dispozitiv în numele utilizatorului sau în numele dispozitivului, aceasta poate fi împachetată într-un fișier PKCS #12 (.p12 sau .pfx) și protejată cu o parolă. Dacă sarcina conține parola, identitatea poate fi instalată fără a fi solicitată utilizatorului. | |||||||||
Sarcina SCEP | iOS iPadOS Dispozitiv iPad partajat Dispozitiv macOS Utilizator macOS tvOS watchOS 10 visionOS 1.1 | Dispozitivul plasează solicitarea de semnare a certificatului direct pe un server de înscriere. Utilizând această tehnică, cheia privată rămâne doar pe dispozitiv. | |||||||||
Pentru a asocia serviciile cu o anumită identitate, configurați o sarcină ACME, SCEP sau de certificat, apoi configurați serviciul dorit în cadrul aceluiași profil de configurare. De exemplu, o sarcină SCEP poate fi configurată pentru a aproviziona o identitate pentru dispozitiv, iar în același profil de configurare, o sarcină Wi-Fi poate fi configurată pentru WPA2 Enterprise/EAP-TLS utilizând certificatul de dispozitiv rezultat din înscrierea SCEP în vederea autentificării.
Pentru a asocia serviciile cu o anumită identitate în macOS, configurați o sarcină Certificat Active Directory, ACME, SCEP sau de certificat, apoi configurați serviciul dorit în cadrul aceluiași profil de configurare. De exemplu, puteți configura o sarcină Certificat Active Directory pentru a aproviziona o identitate pentru dispozitiv, iar în același profil de configurare, o sarcină Wi-Fi poate fi configurată pentru WPA2 Enterprise EAP-TLS utilizând certificatul de dispozitiv rezultat din înscrierea Active Directory Certificate în vederea autentificării.
Reînnoirea certificatelor instalate de profiluri de configurare
Pentru a asigura un acces neîntrerupt la servicii, certificatele implementate folosind o soluție MDM ar trebui reînnoite înainte de expirare. Pentru aceasta, soluțiile MDM pot interoga certificatele instalate, inspecta data de expirare și emite un nou profil sau o nouă configurație înaintea expirării.
Pentru certificatele Active Directory, când identitățile de certificat sunt implementate în cadrul unui profil al dispozitivului, comportamentul implicit este reînnoirea automată pe macOS 13 sau ulterior. Administratorii pot defini o preferință de sistem pentru a schimba acest comportament. Pentru mai multe informații, consultați articolul de asistență Apple Reînnoirea automată a certificatelor livrate printr-un profil de configurare.
Instalarea certificatelor folosind Mail sau Safari
Puteți trimite un certificat ca fișier atașat la un mesaj de e-mail sau puteți găzdui un certificat pe un site web securizat, de unde utilizatorii descarcă certificatul pe dispozitivele lor Apple.
Eliminarea și revocarea certificatelor
O soluție MDM poate vizualiza toate certificatele de pe un dispozitiv și poate elimina orice certificat pe care l-a instalat.
În plus, Protocolul pentru starea certificatelor online (OCSP) este acceptat pentru a verifica starea certificatelor. Dacă se utilizează un certificat compatibil OCSP, sistemele de operare iOS, iPadOS, macOS și visionOS îl vor valida periodic pentru a se asigura că nu a fost revocat.
Pentru revocarea certificatelor cu ajutorul unui profil de configurare, consultați Configurările sarcinii MDM Revocare certificat.
Pentru a elimina manual un certificat instalat în iOS, iPadOS și visionOS 1.1 sau versiuni următoare, accesați Configurări > General > Gestionare dispozitive, selectați un profil, apăsați Alte detalii, apoi apăsați certificatul pentru a-l elimina. Dacă eliminați un certificat care este necesar pentru accesarea unui cont sau a unei rețele, dispozitivul iPhone, iPad sau Apple Vision Pro nu se mai poate conecta la serviciile respective.
Pentru a elimina manual un certificat instalat în macOS, lansați aplicația Acces portchei, apoi căutați certificatul. Selectați-l, apoi ștergeți-l din portchei. Dacă eliminați un certificat care este necesar pentru accesarea unui cont sau a unei rețele, Mac-ul nu se mai poate conecta la serviciile respective.