Enrollment von iOS 10.3 und höher bei MDM Server mit self-signed certificate

Enrollment von iOS 10.3 und höher bei MDM Server mit self-signed certificate

Enrollment von iOS 10.3 und höher bei MDM Server mit self-signed certificate

Seit iOS 10.3 hat Apple die Sicherheitseinstellungen für Zertifikate verändert, die mittels eines Konfigurationsprofils installiert werden. Früher wurde den so installierten Zertifikaten sofort vertraut, seit iOS 10.3 nicht mehr. Jetzt muss dem über ein Konfigurationsprofil installierte Zertifikat noch explizit durch den User vertraut werden, d.h. es muss auf dem iOS Gerät „angeschaltet“ werden.

Problem

Wenn man ein iOS Gerät in ein MDM enrolled, wird das Zertifikat der Certificate Authority des MDM Servers beim enrollment über ein Konfigurationsprofil installiert. Damit wurde in der Vergangenheit automatisch das Vertrauen zum MDM Server hergestellt. Seit iOS 10.3 passiert dies nicht mehr automatisch, wodurch es bei Verwendung von selbstsignierten Zertifikaten notwendig wird, der CA durch manuelle Einstellung zu vertrauen.
MDM Server, die ein vertrauenswürdiges Zertifikat („gekauftes Zertifikat“, „wildly trusted certificate“) verwenden, sind nicht betroffen.

Lösung 1 (empfohlen)

Verwenden eines vertrauenswürdigen Zertifikats („gekauftes Zertifikat“) zur Sicherung der SSL Verbindung zum MDM Server. Dadurch ist die Verbindung zum MDM Server von Anfang an vertrauenswürdig und es ist kein manueller Eingriff notwendig.

Lösung 2 (nicht empfohlen)

Manuelles vertrauen des SSL Zertifikats:

  1. Gehe Sie in die Einstellungen -> Allgemein -> Info
  2. Wählen Sie ganz unten „Zertifikatsvertrauenseinstellungen“
  3. Schalten Sie „Volles Vertrauen für Root-Zertifikate aktivieren“ für das Zertifikat Ihres MDM Servers an

 

Weitere Infos

Apple Knowledge Base:
https://support.apple.com/de-de/HT204477
JAMF Knowledge Base: ​​​​​​​
https://www.jamf.com/jamf-nation/articles/464/changes-in-user-initiated-enrollment-with-untrusted-certificate-authority-ca-signed-ssl-certificates-in-ios-10-3-and-later

 

 

 

No Comments

Sorry, the comment form is closed at this time.