Introduzione alla gestione dei certificati per i dispositivi Apple
I dispositivi Apple supportano i certificati e le identità digitali e offrono così alla tua organizzazione un accesso semplice e sicuro ai servizi aziendali. I certificati si possono utilizzare in vari modi. Ad esempio, il browser Safari è in grado di verificare la validità del certificato digitale X.509 e di stabilire una sessione sicura con crittografia AES fino a 256 bit. Ciò verifica che l’identità del sito sia legittima e che la comunicazione sia protetta, per impedire l’intercettazione di dati riservati o personali. I certificati possono anche essere utilizzati per autenticare l’identità dell’autore o del “firmatario” e per crittografare la posta, i profili di configurazione e le comunicazioni di rete.
Utilizzare i certificati con i dispositivi Apple
I dispositivi Apple includono una serie di certificati root preinstallati di varie autorità di certificazione, la cui affidabilità viene convalidata da iOS, iPadOS, macOS e visionOS. Questi certificati digitali possono essere utilizzati per identificare in modo sicuro un client o un server e per crittografare le comunicazioni tra client e server utilizzando una coppia di chiavi private e pubbliche. Un certificato contiene una chiave pubblica e le informazioni sul client (o sul server) ed è firmato (verificato) da un’autorità di certificazione.
Se OS, iPadOS, macOS o visionOS non riesce a convalidare la catena di trust dell’autorità di certificazione firmataria, il servizio restituirà un errore. Un certificato autofirmato non può essere verificato senza l’interazione dell’utente. Per ulteriori informazioni, consulta l’articolo del supporto Apple Elenco di certificati root attendibili in iOS 17, iPadOS 17, macOS 14, tvOS 17 e watchOS 10.
Se un certificato root preinstallato viene compromesso, iPhone, iPad e Mac possono aggiornarlo in modalità wireless (e via Ethernet sui Mac). Puoi disabilitare questa funzione utilizzando la restrizione MDM “Consenti aggiornamenti automatici delle impostazioni di attendibilità dei certificati” che impedisce l’aggiornamento dei certificati in modalità wireless o cablata.
Tipi di identità supportati
Un certificato e la relativa chiave privata associata sono anche definiti identità. I certificati possono essere distribuiti liberamente, ma le identità devono essere mantenute sicure. Il certificato distribuito liberamente, e specialmente la sua chiave pubblica, vengono utilizzati per la crittografia che può essere decrittografata solo dalla chiave privata corrispondente. La chiave privata di un’identità viene archiviata in un file di certificato di identità PKCS #12 (.p12) e viene codificata con un’altra chiave protetta da una frase chiave. Un’identità può essere utilizzata per l’autenticazione (ad esempio 802.1X EAP-TLS), la firma o la crittografia (ad esempio S/MIME).
I formati per certificati e identità supportati dai dispositivi Apple sono:
Certificato: Certificati .cer, .crt, .der, X.509 con chiavi RSA
Identità: .pfx, .p12
Attendibilità dei certificati
Se un certificato è stato emesso da un’autorità il cui root non si trova nell’elenco dei certificati root attendibili, iOS, iPadOS, macOS o visionOS non riterrà il certificato attendibile. Questo accade spesso quando le autorità di certificazione sono aziende. Per stabilire l’attendibilità, utilizza il metodo descritto nella sezione Distribuzione dei certificati. In questo modo il certificato distribuito è impostato come quello principale. Per infrastrutture a chiave pubblica a livelli multipli, potrebbe essere necessario stabilire l’attendibilità non solo con il certificato root, ma anche con qualsiasi elemento intermedio nella catena. Spesso l’attendibilità in caso di aziende viene impostata in un singolo profilo di configurazione che può essere aggiornato tramite la soluzione MDM quando necessario, senza influire sugli altri servizi sul dispositivo.
Certificati root su iPhone, iPad e Apple Vision Pro
I certificati root installati manualmente su iPhone, iPad o Apple Vision Pro non supervisionati utilizzando un profilo visualizzeranno il seguente messaggio di avviso: “Installando il certificato, il file ’nome del certificato’ verrà aggiunto all’elenco dei certificati attendibili su iPhone o su iPad”. Il certificato, tuttavia, non verrà autorizzato per i siti web fino a quando non lo abiliti in “Attendibilità certificati”.
L’utente può quindi autorizzare il certificato come attendibile sul dispositivo andando su Impostazioni > Generali > Info > Attendibilità certificati.
Nota: i certificati root installati su una MDM o su dispositivi non supervisionati disabilitano l’opzione che consente di modificare le impostazioni di attendibilità.
Certificati root sul Mac
Per completare l’installazione dei certificati installati manualmente tramite un profilo di configurazione è necessario eseguire un’ulteriore passaggio. Dopo aver aggiunto il profilo, l’utente può andare in Impostazioni > Generali > Profili e selezionare il profilo in Scaricati.
L’utente può rivedere le informazioni, annullare o procedere facendo click su Installa. Potrebbe essere necessario inserire un nome utente e una password dell’amministratore locale.
Nota: in macOS 13 o versioni successive, di default i certificati root installati manualmente con un profilo di configurazione non sono contrassegnati come attendibili per TLS. Se necessario, l’app Accesso Portachiavi può essere utilizzata per abilitare TLS trust. I certificati root installati da una soluzione MDM o su dispositivi supervisionati disabilitano l’opzione che consente di modificare le impostazioni di attendibilità e sono considerati attendibili per essere utilizzati con TLS.
Certificati intermedi sul Mac
I certificati intermedi vengono emessi e firmati dal certificato root dell’autorità di certificazione e possono essere gestiti sul Mac tramite l’app Accesso Portachiavi. Questi certificati intermedi hanno una data di scadenza più breve rispetto alla maggior parte dei certificati root e sono usati dalle organizzazioni per consentire ai browser web di ritenere affidabili i siti web associati a un certificato intermedio. Gli utenti possono individuare i certificati intermedi scaduti visualizzando il portachiavi Sistema in Accesso Portachiavi.
Certificati S/MIME sul Mac
Se un utente elimina dei certificati S/MIME dal proprio portachiavi, non potrà più leggere le email precedenti che erano state crittografate utilizzando tali certificati.