Johdanto varmenteiden hallintaan Apple-laitteille
Applen laitteet tukevat digitaalisia varmenteita ja identiteetteja tarjoten organisaatiolle virtaviivaistetun pääsyn yrityksen palveluihin. Näitä varmenteita voidaan käyttää eri tavoin. Esimerkiksi Safari-selain voi tarkistaa X.509-digitaalivarmenteen kelvollisuuden ja muodostaa suojatun istunnon 256-bittisellä AES-salauksella. Tähän sisältyy sen varmentaminen, että sivuston identiteetti on hyväksytty ja että tiedonsiirto verkkosivuston kanssa on suojattua. Näin autetaan estämään henkilökohtaisten tai luottamuksellisten tietojen sieppaaminen. Varmenteet todistavat omistajansa identiteetin ja niitä voidaan käyttää sähköpostin, asetusprofiilien ja verkkoliikenteen salaamiseen.
Varmenteiden käyttäminen Applen laitteiden kanssa
Applen laitteissa on monien varmentajien juurivarmenne, ja iOS, iPadOS, macOS ja visionOS tarkistavat varmenteiden luotettavuuden näillä juurivarmenteilla. Näillä digitaalisilla varmenteilla voidaan tunnistaa asiakas tai palvelin luotettavasti ja salata niiden välinen tietoliikenne käyttämällä julkisen ja yksityisen avaimen paria. Varmenne sisältää julkisen avaimen, tietoja asiakkaasta tai palvelimesta ja on varmentajan allekirjoittama (tarkistama).
Jos iOS, iPadOS, macOS tai visionOS ei voi tarkistaa varmenteen luotettavuutta, palvelu palauttaa virheen. Itse-allekirjoitetun varmenteen luottavuutta ei voida vahvistaa ilman käyttäjän toimenpiteitä. Jos haluat lisätietoja, katso Applen tukiartikkeli iOS 17:n, iPadOS 17:n, macOS 14:n, tvOS 17:n ja watchOS 10:n luotettujen juurivarmenteiden luettelo.
iPhone-, iPad- ja Mac-laitteet voivat päivittää varmenteita langattomasti (ja Macin tapauksessa Ethernetin kautta), jos jokin esiasennetuista juurivarmenteista vaarantuu. Voit ottaa tämän ominaisuuden pois käytöstä mobiililaitteiden hallinnan (MDM) rajoituksella ”Salli varmenteen luottamusasetusten automaattinen päivitys”, joka estää varmennepäivitykset langattomassa tai langallisessa verkossa.
Tuetut identiteettityypit
Varmenne ja siihen liittyvä yksityinen avain tunnetaan nimellä identiteetti. Varmenteita voidaan jaella vapaasti, mutta identiteetit tulee pitää turvassa. Vapaasti jaeltavaa varmennetta ja erityisesti sen julkista avainta käytetään salaukseen, joka voidaan avata vain vastaavalla yksityisellä avaimella. Identiteetin yksityinen avain tallennetaan PKCS #12 ‑identiteettisertifikaattina p12-tiedostoon, joka salataan toisella salauslauseella suojatulla avaimella. Identiteettiä voidaan käyttää todentamiseen (kuten 802.1X EAP-TLS), allekirjoittamiseen ja salaamiseen (kuten S/MIME).
Apple-laitteiden tukema varmenne ja identiteettimuodot:
Varmenne: .cer-, .crt-, .der- ja X.509-varmenteet, joissa on RSA-avain
Identiteetti: .pfx, .p12
Varmenteen luottamus
Jos varmenteen on myöntänyt varmentaja, jonka juurivarmenne ei ole luotettavien juurivarmenteiden luettelossa, iOS, iPadOS, macOS tai visionOS eivät luota varmenteeseen. Näin käy usein sellaisten varmentajien kohdalla, jotka myöntävät varmenteita yrityksille. Luottamus muodostetaan käyttämällä Varmenteiden käyttöönotto ‑osiossa mainittuja menettelyitä. Näin asetetaan luotettu ankkuri käytettävään varmenteeseen. Monitasoisissa julkisen avaimen infrastruktuureissa saattaa olla tarpeen muodostaa luottamus juurivarmenteen lisäksi myös ketjussa olevien välivarmenteiden kanssa. Usein yrityksen luottamus määritetään yksittäisessä asetusprofiilissa, jota voidaan tarvittaessa päivittää MDM-ratkaisulla vaikuttamatta muihin laitteessa oleviin palveluihin.
Juurivarmenteet iPhonessa, iPadissa ja Apple Vision Prossa
Valvomattomaan iPhoneen, iPadiin tai Apple Vision Prohon profiilin kautta käsin asennetut juurivarmenteet näyttävät varoituksen, jossa kerrotaan, että varmenteen [varmenteen nimi] asentaminen lisää sen luotettujen varmenteiden luetteloon iPhonessa tai iPadissa. Tähän varmenteeseen ei luoteta verkkosivuilla ennen kuin otat sen käyttöön Varmenteiden luottamusasetuksissa.”
Käyttäjä voi luottaa varmenteeseen laitteessaan valitsemalla Asetukset > Yleiset > Tietoja > Varmenteiden luottamusasetukset.
Huomaa: Jos juurivarmenteet on asennettu MDM-ratkaisulla tai ne on asennettu valvottuihin laitteisiin, ei luottamusasetuksia voida muuttaa.
Juurivarmenteet Macissa
Jos varmenteita asennetaan manuaalisesti asetusprofiililla, tarvitaan asennuksen loppuunviemiseen lisätoimenpide. Kun profiili on lisätty, käyttäjä voi mennä osioon Asetukset > Yleiset > Profiilit ja valita profiilin kohdasta Ladattu.
Sen jälkeen käyttäjä voi tarkistaa tiedot, kumota asennuksen tai jatkaa klikkaamalla Asenna. Käyttäjän on ehkä syötettävä paikallisen ylläpitäjän käyttäjätunnus ja salasana.
Huomaa: macOS 13:ssa tai uudemmissa manuaalisesti asetusprofiililla asennettuja juurivarmenteita ei oletuksena merkitä luotetuiksi TLS:lle. Tarvittaessa TLS:n luottamus voidaan ottaa käyttöön Avainnippu‑apilla. Jos juurivarmenteet on asennettu MDM-ratkaisulla tai ne on asennettu valvottuihin laitteisiin, niiden luottamusasetuksia ei voida muuttaa ja niihin luotetaan käytössä TLS:n kanssa.
Välivarmenteet Macissa
Välivarmenteet ovat varmentajien juurivarmenteen antamia ja allekirjoittamia, ja niitä voidaan hallita Macissa Avainnippu-apilla. Välivarmenteiden vanhentumisaika on lyhyempi kuin useimpien juurivarmenteiden, ja organisaatiot käyttävät niitä siihen, että verkkoselaimet luottavat välivarmenteeseen yhdistettyihin verkkosivustoihin. Käyttäjät löytävät vanhentuneet välivarmenteet katsomalla järjestelmän avainnippua Avainnippu-apissa.
S/MIME-varmenteet Macissa
Jos käyttäjä poistaa S/MIME-varmenteita avainnipustaan, hän ei enää voi lukea aikaisempaa sähköpostia, joka on salattu kyseisillä varmenteilla.