Εισαγωγή στη διαχείριση πιστοποιητικών για συσκευές Apple
Οι συσκευές Apple υποστηρίζουν ψηφιακά πιστοποιητικά και ταυτότητες, παρέχοντας στον οργανισμό σας βελτιστοποιημένη πρόσβαση σε εταιρικές υπηρεσίες. Αυτά τα πιστοποιητικά μπορούν να χρησιμοποιηθούν με πολλούς τρόπους. Για παράδειγμα, το πρόγραμμα περιήγησης Safari μπορεί να ελέγξει την εγκυρότητα ενός ψηφιακού πιστοποιητικού X.509 και να δημιουργήσει μια ασφαλή συνεδρία με κρυπτογράφηση έως 256 bit AES. Επιπλέον, επαληθεύεται ότι η ταυτότητα του ιστότοπου είναι αξιόπιστη και ότι η επικοινωνία με τον ιστότοπο προστατεύεται, ώστε να βοηθήσει να εμποδιστεί η παραβίαση των προσωπικών ή απόρρητων δεδομένων. Τα πιστοποιητικά μπορούν επίσης να χρησιμοποιηθούν για εγγύηση της ταυτότητας του συντάκτη ή του υπογράφοντος και για κρυπτογράφηση email, προφίλ διαμόρφωσης και δικτυακής επικοινωνίας.
Χρήση πιστοποιητικών με συσκευές Apple
Οι συσκευές Apple περιλαμβάνουν μια σειρά προεγκατεστημένων πιστοποιητικών ρίζας από διάφορες αρχές πιστοποίησης (CA) και τα iOS, iPadOS, macOS και visionOS επικυρώνουν την αξιοπιστία αυτών των πιστοποιητικών ρίζας. Αυτά τα ψηφιακά πιστοποιητικά μπορούν να χρησιμοποιηθούν για την ασφαλή αναγνώριση ενός προγράμματος-πελάτη ή διακομιστή και την κρυπτογράφηση της επικοινωνίας μεταξύ τους μέσω του ζεύγους κλειδιών δημόσιο-ιδιωτικό. Ένα πιστοποιητικό περιέχει ένα δημόσιο κλειδί, πληροφορίες για το πρόγραμμα-πελάτη (ή τον διακομιστή) και είναι υπογεγραμμένο (επαληθευμένο) από μια αρχή πιστοποίησης.
Αν το iOS, το iPadOS, το macOS ή το visionOS δεν μπορέσει να επικυρώσει την αλυσίδα αξιοπιστίας της υπογράφουσας αρχής πιστοποίησης, η υπηρεσία αντιμετωπίζει σφάλμα. Δεν είναι δυνατή η επαλήθευση ενός αυτο-υπογεγραμμένου πιστοποιητικού χωρίς αλληλεπίδραση του χρήστη. Για περισσότερες πληροφορίες, ανατρέξτε στο άρθρο της Υποστήριξης Apple Λίστα διαθέσιμων αξιόπιστων πιστοποιητικών ρίζας σε iOS 17, iPadOS 17, macOS 14, tvOS 17 και watchOS 10.
Οι συσκευές iPhone, iPad και Mac μπορούν να πραγματοποιούν ενημέρωση πιστοποιητικών ασύρματα (σε Mac, και μέσω Ethernet), αν διακυβευτεί η ασφάλεια ενός προεγκατεστημένου πιστοποιητικού ρίζας. Μπορείτε να απενεργοποιήσετε αυτήν τη δυνατότητα χρησιμοποιώντας τον περιορισμό διαχείρισης φορητών συσκευών (MDM) «Να επιτρέπονται αυτόματες ενημερώσεις των ρυθμίσεων αξιοπιστίας πιστοποιητικού» ο οποίος αποτρέπει τις ενημερώσεις πιστοποιητικών μέσω ασύρματων ή ενσύρματων δικτύων.
Υποστηριζόμενοι τύποι ταυτότητας
Ένα πιστοποιητικό και το συσχετισμένο ιδιωτικό κλειδί του είναι γνωστά ως ταυτότητα. Τα πιστοποιητικά μπορούν να διανεμηθούν ελεύθερα αλλά οι ταυτότητες πρέπει να παραμένουν ασφαλείς. Το πιστοποιητικό ελεύθερης διανομής και ειδικά το δημόσιο κλειδί του χρησιμοποιούνται για κρυπτογράφηση που μπορεί να αποκρυπτογραφηθεί μόνο μέσω του αντίστοιχου ιδιωτικού κλειδιού. Το μέρος του ιδιωτικού κλειδιού μιας ταυτότητας αποθηκεύεται σε ένα πιστοποιητικό ταυτότητας PKCS #12 (.p12) και κρυπτογραφείται με ένα άλλο κλειδί που προστατεύεται από μια συνθηματική φράση. Μια ταυτότητα μπορεί να χρησιμοποιηθεί για έλεγχο ταυτότητας (όπως για το 802.1X EAP-TLS), υπογραφή, ή κρυπτογράφηση (όπως για το S/MIME).
Οι μορφές πιστοποιητικών και ταυτότητας των συσκευών Apple είναι οι εξής:
Πιστοποιητικό: Πιστοποιητικά .cer, .crt, .der, X.509 με κλειδιά RSA
Ταυτότητα: .pfx, .p12
Αξιοπιστία πιστοποιητικών
Αν ένα πιστοποιητικό έχει εκδοθεί από αρχή πιστοποίησης και η ρίζα του δεν περιλαμβάνεται στη λίστα αξιόπιστων πιστοποιητικών ρίζας, τα iOS, iPadOS, macOS και visionOS δεν θα θεωρήσουν αξιόπιστο το πιστοποιητικό. Αυτή είναι συνήθως η περίπτωση για αρχές πιστοποίησης για εταιρείες. Για καθιέρωση της αξιοπιστίας, χρησιμοποιήστε τη μέθοδο που περιγράφεται στην ενότητα ανάπτυξη πιστοποιητικών. Αυτό ορίζει το σημείο αγκύρωσης στο πιστοποιητικό που αναπτύσσεται. Για υποδομές δημοσίου κλειδιού πολλαπλών επιπέδων, ενδέχεται να πρέπει να καθορίσετε την αξιοπιστία όχι μόνο στο πιστοποιητικό ρίζας αλλά και σε τυχόν ενδιάμεσα στην αλυσίδα. Συνήθως, η ρύθμιση παραμέτρων της εταιρικής αξιοπιστίας πραγματοποιείται σε ένα προφίλ διαμόρφωσης που μπορεί να ενημερωθεί με τη λύση MDM σας εάν απαιτείται, χωρίς να επηρεάζει άλλες υπηρεσίες στη συσκευή.
Πιστοποιητικά ρίζας σε iPhone, iPad και Apple Vision Pro
Τα πιστοποιητικά ρίζας που εγκαθίστανται χειροκίνητα σε ένα μη επιβλεπόμενο iPhone, iPad ή Apple Vision Pro μέσω ενός προφίλ εμφανίζουν την ακόλουθη προειδοποίηση: «Με την εγκατάσταση του πιστοποιητικού "όνομα πιστοποιητικού" αυτό θα προστεθεί στη λίστα αξιόπιστων πιστοποιητικών στο iPhone ή iPad σας. Αυτό το πιστοποιητικό δεν θα είναι αξιόπιστο για ιστότοπους μέχρι να το ενεργοποιήσετε στις Ρυθμίσεις αξιοπιστίας πιστοποιητικού».
Ο χρήστης έπειτα μπορεί να ορίσει ως αξιόπιστο το πιστοποιητικό στη συσκευή στις «Ρυθμίσεις» > «Γενικά» > «Πληροφορίες» > «Ρυθμίσεις αξιοπιστίας πιστοποιητικών».
Σημείωση: Η επιλογή για την αλλαγή των ρυθμίσεων αξιοπιστίας είναι απενεργοποιημένη για πιστοποιητικά ρίζας που έχουν εγκατασταθεί από μια λύση MDM ή σε επιβλεπόμενες συσκευές.
Πιστοποιητικά ρίζας στο Mac
Για πιστοποιητικά που εγκαθίστανται χειροκίνητα μέσω ενός προφίλ ρύθμισης παραμέτρων, πρέπει να εκτελεστεί μια πρόσθετη ενέργεια για ολοκλήρωση της εγκατάστασης. Μετά την προσθήκη του προφίλ, ο χρήστης μπορεί να πλοηγηθεί στις «Ρυθμίσεις» > «Γενικά» > «Προφίλ» και να επιλέξει το προφίλ στο τμήμα «Ληφθέντα».
Μετά, ο χρήστης μπορεί να ελέγξει τις λεπτομέρειες, να επιλέξει ακύρωση, ή να συνεχίσει κάνοντας κλικ στην «Εγκατάσταση». Ο χρήστης ίσως χρειαστεί να παράσχει όνομα χρήστη και συνθηματικό τοπικού διαχειριστή.
Σημείωση: Στο macOS 13 και μεταγενέστερες εκδόσεις. τα πιστοποιητικά ρίζας που εγκαθίστανται χειροκίνητα με προφίλ ρύθμισης παραμέτρων δεν επισημαίνονται ως αξιόπιστα για TLS. Αν χρειάζεται, μπορεί να χρησιμοποιηθεί η εφαρμογή «Πρόσβαση στην κλειδοθήκη» για την ενεργοποίηση της αξιοπιστίας TLS. Η επιλογή για την αλλαγή των ρυθμίσεων αξιοπιστίας είναι απενεργοποιημένη για πιστοποιητικά ρίζας που έχουν εγκατασταθεί από μια λύση MDM ή σε επιβλεπόμενες συσκευές και είναι αξιόπιστα για χρήση με το TLS.
Ενδιάμεσα πιστοποιητικά σε Mac
Τα ενδιάμεσα πιστοποιητικά εκδίδονται και υπογράφονται από το πιστοποιητικό ρίζας των αρχών πιστοποίησης, και η διαχείρισή τους μπορεί να γίνει σε Mac με την εφαρμογή «Πρόσβαση σε κλειδοθήκη». Αυτά τα ενδιάμεσα πιστοποιητικά έχουν συντομότερη ημερομηνία λήξης από τα περισσότερα πιστοποιητικά ρίζας και χρησιμοποιούνται από οργανισμούς, ώστε τα προγράμματα περιήγησης Ιστού να εμπιστεύονται ιστότοπους που σχετίζονται με ένα ενδιάμεσο πιστοποιητικό. Οι χρήστες μπορούν να βρουν τα ενδιάμεσα πιστοποιητικά που έχουν λήξει, προβάλλοντας την κλειδοθήκη συστήματος στην Πρόσβαση σε κλειδοθήκη.
Πιστοποιητικά S/MIME στο Mac
Αν ένας χρήστης διαγράψει οποιοδήποτε πιστοποιητικό S/MIME από την κλειδοθήκη του, δεν θα μπορεί πλέον να διαβάσει το προηγούμενο email που κρυπτογραφήθηκε με αυτά τα πιστοποιητικά.