Appleデバイスの証明書管理の概要
Appleデバイスはデジタル証明書とデジタルIDをサポートしているので、組織の社内サービスに効率的にアクセスできます。これらの証明書はさまざまな目的で使用されます。例えば、SafariブラウザはX.509デジタル証明書の有効性を確認し、最大256ビットのAES暗号化を使用した安全なセッションを確立します。これにより、そのWebサイトの身元が正当で、サイトとの通信が安全であることを確認でき、個人情報や機密情報の傍受を防止できます。証明書は、作成者または「署名者」の身元を保証したり、メール、構成プロファイル、ネットワーク通信を暗号化したりするために使用できます。
Appleデバイスで証明書を使用する
Appleデバイスには、さまざまな認証局(CA)が発行した多数のルート証明書がインストールされており、iOS、iPadOS、macOS、およびvisionOSはこれらのルート証明書の信頼性を検証します。これらのデジタル証明書を使って安全にクライアントまたはサーバを識別し、公開鍵と秘密鍵のペアを利用してサーバとクライアントの間の通信を暗号化することができます。1つの証明書は1つの公開鍵とクライアント(またはサーバ)に関する情報を含み、CAによって署名(検証)されます。
iOS、iPadOS、macOS、またはvisionOSが署名CAの信頼チェーンを検証できない場合、サービスはエラーになります。自己署名証明書を検証するには、ユーザの操作が必要になります。詳しくは、Appleのサポート記事「iOS 17、iPadOS 17、macOS 14、tvOS 17、およびwatchOS 10で利用できる信用されたルート証明書の一覧」を参照してください。
あらかじめインストールされたルート証明書が改ざんされた場合、iPhone、iPad、およびMacデバイスはワイヤレス(MacではEthernet経由も可能)で証明書をアップデートできます。この機能を無効にするには、モバイルデバイス管理(MDM)の制限オプションの「証明書信頼設定の自動アップデートを許可」を使用します。これにより、ワイヤレスと有線ネットワークのどちらでも証明書を更新できなくなります。
サポートされるIDの種類
証明書とその証明書に割り当てられた秘密鍵が IDです。証明書は自由に配付できますが、識別情報はセキュリティで保護する必要があります。自由に配付される証明書と、特にその公開鍵部分は、対応する秘密鍵のみで復号できるような暗号化に使用されます。IDの秘密鍵部分はPKCS #12固有名証明書および.p12形式のファイルとして保存され、パスフレーズで保護された別の鍵で暗号化されます。IDは、認証(802.1X EAP-TLSなど)、署名、または暗号化(S/MIMEなど)に使用できます。
Appleデバイスがサポートする証明書およびIDのフォーマットは以下の通りです:
証明書: .cer、.crt、.der、RSA鍵が含まれるX.509証明書
ID: .pfx、.p12
証明書信頼
証明書を発行したCAのルートが、信頼されているルート証明書のリストにない場合は、iOS、iPadOS、macOS、またはvisionOSはその証明書を信頼しません。これは企業が発行したCAでよく起こります。信頼を確立するには、「証明書の導入」に記載の方法を使用します。これにより、導入されている証明書にトラストアンカーが設定されます。階層型の公開鍵インフラストラクチャの場合は、ルート証明書だけでなく、信頼チェーンの中間の証明書とも信頼の確立が必要になることがあります。多くの場合、企業の信頼は、単一の構成プロファイル内で構成されます。この構成プロファイルは、デバイスのほかのサービスに影響を与えることなく、必要に応じてMDMソリューションでアップデートできます。
iPhone、iPad、およびApple Vision Pro上のルート証明書
プロファイルを使ってルート証明書を監視対象外のiPhone、iPad、またはApple Vision Proに手動でインストールした場合、「証明書“証明書の名前”をインストールすると、iPhoneまたはiPadにある信頼できる証明書のリストに追加されます。“証明書信頼設定”で有効にするまで、この証明書はWebサイト用には信頼されません」という警告が表示されます。
この場合、ユーザは「設定」>「一般」>「情報」>「証明書信頼設定」と選択して、その証明書がデバイス上で信頼されるように設定できます。
注記: ルート証明書をMDMソリューションによってインストールするか、監視対象デバイスにインストールすると、信頼設定の変更オプションが無効になります。
Macのルート証明書
構成プロファイルを通じて手動でインストールされる証明書には、インストールを完了するために実行する追加アクションが必要です。プロファイルの追加後に、ユーザは「設定」>「一般」>「プロファイル」と選択して、「ダウンロード済み」の下にあるプロファイルを選択できます。
その後、ユーザは詳細を確認することも、キャンセルすることも、「インストール」をクリックして続けることもできます。ユーザがローカル管理者のユーザ名とパスワードを入力する必要がある場合があります。
注記: macOS 13以降では、構成プロファイルを使用して手動でインストールされたルート証明書は、デフォルトではTLSに信頼されているものとされていません。必要に応じて、キーチェーンアクセスアプリを使ってTLSの信頼を有効にできます。ルート証明書をMDMソリューションによってインストールするか、監視対象デバイスにインストールすると、信頼設定の変更オプションが無効になり、TLSでの使用が信頼されます。
Macの中間証明書
中間証明書は、認証局のルート証明書が発行および署名するもので、Macでキーチェーンアクセスアプリを使用して管理できます。これらの中間証明書は、ほとんどのルート証明書よりも有効期限日が短く、組織が利用します。そのため、Webブラウザは中間証明書が関連付けられたWebサイトを信頼します。ユーザはキーチェーンアクセスの「システム」キーチェーンを表示することで、期限が切れた中間証明書を探すことができます。
MacのS/MIME証明書
ユーザがキーチェーンからS/MIME証明書を削除すると、それらの証明書を使って暗号化された既存のメールを読むことができなくなります。