04 — Lag 2

mTLS & ACME:
Kun godkjente enheter

Omveien er ikke offentlig tilgjengelig.

ACME Device Attestation

Hardware-bundet nøkkel

P-384-nøkkelen genereres i Secure Enclave og forlater aldri enheten. Sertifikatet kan ikke kopieres til en annen enhet og brukes der.

Apple-attestert

Apple bekrefter kryptografisk at nøkkelen er i Secure Enclave på en ekte Apple-enhet. MDM-serveren verifiserer dette mot Apples attesteringstjeneste.

MDM-kontrollert

Kun MDM-administrerte enheter provisjoneres med sertifikat. MDM kan trekke tilbake tilgangen umiddelbart ved å invalidere sertifikatet.

Ingen delte hemmeligheter

Ingen passord, ingen API-nøkler. Autentiseringen er rent kryptografisk og bundet til en spesifikk fysisk enhet.

Rollen i tenant-isolasjonen

mTLS er enhetsgodkjenningsgrensen. Den sikrer at kun enheter som er:

01
MDM-registrert
02
ACME-provisjonert
03
Hardware-attestert
04
Kan nå omveien

…kan etablere QUIC-tilkoblingen til h2o. En uadministrert enhet — selv om den kjenner adressen og porten til omveien — vil bli avvist stille av h2o før noe logges.

Conditional Access og omvei-IP

Omvei-serverens statiske offentlige IP hvitelistes i Entra Conditional Access som en betrodd nettverkslokasjon. Dette betyr at Microsoft ser alle autentiseringsforespørsler som kommende fra en kjent, betrodd IP — og kan fravike kravet om enhetssertifikat fra klientens side. Enhetsgodkjenningen skjer i stedet ved omveiens mTLS-grense, som er under din kontroll.

AllowAllAppsAccess: true er påkrevd i ACME-payloaden. Dette er nødvendig for at nesessionmanager — Apple-systemprosessen som håndterer nettverksutvidelser — kan hente sertifikatet fra Secure Enclave for mTLS-håndtrykket.