Sertifikaları Apple aygıtlarına dağıtma
Sertifikaları iPhone, iPad ve Apple Vision Pro aygıtlarına elle dağıtabilirsiniz. Kullanıcılar bir sertifika aldığında, dokunarak içeriği gözden geçirebilir ve ardından yine dokunarak sertifikayı aygıtlarına ekleyebilir. Bir kimlik sertifikası yüklendiğinde, kullanıcılardan bu sertifikayı koruyan parolayı girmeleri istenir. Gerçekliği doğrulanamayan bir sertifika güvenilir olmayan olarak gösterilir ve kullanıcı bu sertifikayı aygıta eklemek isteyip istemediğine karar verebilir.
Sertifikaları Mac bilgisayarlarına elle dağıtabilirsiniz. Kullanıcılar bir sertifika aldığında Anahtar Zinciri Erişimi’ni açmak ve içeriği gözden geçirmek için sertifikayı çift tıklarlar. Sertifika beklentileri karşılıyorsa kullanıcılar istedikleri anahtar zincirini seçip Ekle düğmesini tıklarlar. Çoğu kullanıcı sertifikasının oturum açma anahtar zincirine yüklenmesi gerekir. Bir kimlik sertifikası yüklendiğinde, kullanıcılardan bu sertifikayı koruyan parolayı girmeleri istenir. Gerçekliği doğrulanamayan bir sertifika güvenilir olmayan olarak gösterilir ve kullanıcı bu sertifikayı Mac’e eklemek isteyip istemediğine karar verebilir.
Bazı sertifika kimlikleri, Mac bilgisayarlarında otomatik olarak yenilenebilir.
MDM verilerini kullanarak sertifika dağıtım yöntemleri
Aşağıdaki tablo, sertifikaları konfigürasyon profillerini kullanarak dağıtmaya yönelik farklı verileri gösterir. Bunlar arasında Active Directory Certificate verisi, Certificate verisi (PKCS #12 kimlik sertifikası için), Automated Certificate Management Environment (ACME) verisi ve Simple Certificate Enrollment Protocol (SCEP) verisi sayılabilir.
Veri | Desteklenen işletim sistemleri ve kanallar | Açıklama | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Active Directory Certificate verisi | macOS aygıtı macOS kullanıcısı | Active Directory Certificate verisi ayarlandığında macOS, bir uzaktan yordam çağrısı kullanarak doğrudan sertifika yayımlayan Active Directory Sertifika Servisleri sunucusuna bir sertifika imzalama isteğinde bulunur. Makine kimliklerini, Active Directory’deki Mac bilgisayarı nesnesinin kimlik bilgilerini kullanarak kaydettirebilirsiniz. Kullanıcılar, bireysel kimlikleri doğrulamak için kayıt işleminin bir parçası olarak kendi kimlik bilgilerini sağlayabilirler. Yöneticiler bu veriyi kullanarak özel anahtar kullanımı ve kayıtta kullanılan sertifika şablonu için ek denetime sahip olur. SCEP için olduğu gibi özel anahtar aygıtta kalır. | |||||||||
ACME verisi | iOS iPadOS Paylaşılan iPad aygıtı macOS aygıtı macOS kullanıcısı tvOS watchOS 10 visionOS 1.1 | Aygıt, bir MDM çözümüne kayıtlı olan Apple aygıtları için sertifikaları bir sertifika otoritesinden (CA) alır. Bu teknik kullanıldığında özel anahtar yalnızca aygıtta kalır ve isteğe bağlı olarak aygıta donanımla bağlı olabilir. | |||||||||
Certificates verisi (PKCS #12 kimlik sertifikası için) | iOS iPadOS Paylaşılan iPad aygıtı macOS aygıtı macOS kullanıcısı tvOS watchOS 10 visionOS 1.1 | Kimlik, kullanıcı veya aygıt adına aygıttan sağlanıyorsa, bir PKCS #12 dosyasına (.p12 veya .pfx) eklenip parolayla korunabilir. Veri parolayı içeriyorsa, kimlik kullanıcının işlem yapması istenmeden yüklenebilir. | |||||||||
SCEP verisi | iOS iPadOS Paylaşılan iPad aygıtı macOS aygıtı macOS kullanıcısı tvOS watchOS 10 visionOS 1.1 | Aygıt, sertifika imzalama isteğini doğrudan bir kayıt sunucusuna gönderir. Bu teknik kullanıldığında özel anahtar yalnızca aygıtta kalır. | |||||||||
Servisleri belirli bir kimlikle ilişkilendirmek için bir ACME, SCEP veya sertifika verisi ayarlayın, sonra aynı konfigürasyon profilinde istenen servisi ayarlayın. Örneğin bir SCEP verisi aygıt için bir kimlik sağlayacak şekilde ayarlanabilir ve aynı konfigürasyon profilinde bir Wi-Fi verisi, SCEP kimlik doğrulama kaydından kaynaklanan aygıt sertifikası kullanılarak WPA2 Kurumsal/EAP-TLS için ayarlanabilir.
macOS’te servisleri belirli bir kimlikle ilişkilendirmek için bir Active Directory Sertifikası, ACME, SCEP veya sertifika verisi ayarlayın, sonra aynı konfigürasyon profilinde istenen servisi ayarlayın. Örneğin bir Active Directory Certificate verisini, aygıt için bir kimlik sağlayacak şekilde ayarlayabilirsiniz; aynı konfigürasyon profilinde bir Wi-Fi verisi, Active Directory Sertifikası kimlik doğrulama kaydından kaynaklanan aygıt sertifikası kullanılarak WPA2 Kurumsal, EAP-TLS için ayarlanabilir.
Konfigürasyon profilleri tarafından yüklenen sertifikaları yenileme
Servis erişiminin sürekli olmasını sağlamak için MDM çözümü kullanılarak dağıtılan sertifikalar süreleri dolmadan önce yenilenmelidir. MDM çözümleri bunu yapmak için yüklü sertifikaları sorgulayabilir, son kullanma tarihlerini inceleyebilir ve süresinden önce yeni bir profil veya konfigürasyon verebilir.
Active Directory sertifikaları için, macOS 13 veya daha yenisinde sertifika kimlikleri aygıt profilinin bir parçası olarak dağıtılırken saptanmış davranış otomatik yenilemedir. Yöneticiler, bu davranışı değiştirmek için bir sistem tercihi ayarlayabilir. Daha fazla bilgi için Konfigürasyon profili aracılığıyla verilen sertifikaları otomatik olarak yenileme adlı Apple Destek makalesine bakın.
Sertifikaları Mail veya Safari kullanarak yükleme
Bir sertifikayı, e-posta iletisinde ilişik olarak gönderebilir veya kullanıcıların Apple aygıtlarına sertifikayı indirdiği güvenli bir web sitesinde barındırabilirsiniz.
Sertifikaları silme ve iptal etme
Bir MDM çözümü bir aygıttaki tüm sertifikaları görüntüleyebilir ve daha önce yüklediği sertifikaları silebilir.
Ayrıca, sertifikaların durumunu denetlemek için Çevrimiçi Sertifika Durumu Protokolü (OCSP) de desteklenir. OCSP özelliğine sahip bir sertifika kullanılırken iOS, iPadOS, macOS ve visionOS iptal edilmediğinden emin olmak için bu sertifikanın geçerliliğini düzenli aralıklarla denetler.
Konfigürasyon profili kullanarak sertifikaları iptal etmek için Certificate Revocation MDM verisi ayarları konusuna bakın.
iOS’te, iPadOS’te ve visionOS 1.1 veya daha yenisinde yüklü bir sertifikayı elle silmek için Ayarlar > Genel > Aygıt Yönetimi’ne gidin, bir profil seçin, Daha Fazla Ayrıntı’ya dokunun, sonra silmek istediğiniz sertifikaya dokunun. Bir hesaba veya ağa erişmek için gereken bir sertifikayı silerseniz iPhone, iPad veya Apple Vision Pro artık bu servislere bağlanamaz.
macOS’te yüklü bir sertifikayı elle silmek için Anahtar Zinciri Erişimi uygulamasını başlatın, sonra sertifikayı arayın. Sertifikayı seçin, sonra onu anahtar zincirinden silin. Bir hesaba veya ağa erişmek için gereken bir sertifikayı silerseniz Mac artık bu servislere bağlanamaz.