Pengenalan kepada pengurusan sijil untuk peranti Apple
Peranti Apple menyokong sijil dan identiti digital, memberikan organisasi anda akses yang diperkemas pada perkhidmatan korporat. Sijil ini boleh menggunakan dalam pelbagai cara. Sebagai contoh, pelayar Safari boleh menyemak kesahihan sijil digital X.509 dan mewujudkan sesi selamat dengan penyulitan AES sehingga ke 256-bit. Ini termasuk mengesahkan bahawa identiti tapak adalah sah dan komunikasi dengan tapak web dilindungi untuk membantu menghalang pintasan data peribadi atau sulit. Sijil juga boleh digunakan untuk menjamin identiti pengarang atau “penandatangan” dan untuk menyulitkan mel, profil konfigurasi dan komunikasi rangkaian.
Menggunakan sijil dengan peranti Apple
Peranti Apple menyertakan bilangan sijil akar sedia pasang daripada pelbagai Autoriti Pensijilan (CA) dan iOS, iPadOS, macOS dan visionOS mengesahkan kepercayaan untuk sijil akar ini. Sijil digital ini boleh digunakan untuk mengenal pasti klien atau pelayan dengan selamat dan untuk menyulitkan komunikasi antaranya menggunakan kunci pasangan awam dan peribadi. Sijil mengandungi kunci awam, maklumat tentang klien (atau pelayan) dan ditandatangani (disahkan) oleh CA.
Jika iOS, iPadOS, macOS atau visionOS tidak boleh mengesahkan rantai kepercayaan penandatanganan CA, perkhidmatan menghadapi ralat. Sijil ditandatangani sendiri tidak boleh disahkan tanpa interaksi pengguna. Untuk mendapatkan maklumat lanjut, lihat artikel sokongan Apple Senarai sijil akar dipercayai yang tersedia dalam iOS 17, iPadOS 17, macOS 14, tvOS 17 dan watchOS 10.
Peranti iPhone, iPad dan Mac boleh mengemas kini sijil secara wayarles (dan untuk Mac, melalui Ethernet) jika sebarang sijil akar yang sedia dipasang telah terjejas. Anda boleh menyahdayakan ciri ini menggunakan pengehadan pengurusan peranti mudah alih (MDM) "Benarkan kemas kini automatik untuk seting kepercayaan sijil," yang menghalang kemas kini sijil melalui rangkaian wayarles atau berwayar.
Jenis identiti disokong
Sijil dan kunci peribadi yang dikaitkan dikenali sebagai identiti. Sijil boleh diagihkan secara bebas, tetapi identiti mesti disimpan dengan selamat. Sijil yang diagihkan secara bebas dan terutamanya kunci awamnya, digunakan untuk penyulitan yang boleh dinyahsulitkan hanya oleh kunci peribadi yang sepadan. Bahagian kunci peribadi identiti disimpan sebagai sijil identiti PKCS #12 fail (.p12) dan disulitkan dengan kunci lain yang dilindungi oleh frasa laluan. Identiti boleh digunakan untuk pengesahan (seperti 802.1X EAP-TLS), tandatangan, atau penyulitan (seperti S/MIME).
Format sijil dan identiti sokongan peranti Apple adalah:
Sijil: Sijil .cer, .crt, .der, X.509 dengan kunci RSA
Identiti: .pfx, .p12
Kepercayaan sijil
Jika sijil telah dikeluarkan daripada CA yang akarnya tiada dalam senarai sijil akar yang dipercayai, iOS, iPadOS, macOS atau visionOS tidak akan mempercayai sijil. Ini biasanya kes dengan CA yang dikeluarkan oleh perusahaan. Untuk mewujudkan kepercayaan, gunakan kaedah yang diterangkan dalam pengerahan sijil. Ini mengesetkan sauh kepercayaan pada sijil yang dikerahkan. Untuk infrastruktur kunci awam berbilang peringkat, ia mungkin perlu untuk mewujudkan kepercayaan bukan hanya dengan sijil akar, namun juga dengan sebarang perantaraan dalam rantai. Biasanya, kepercayaan perusahaan dikonfigurasikan dalam profil konfigurasi yang boleh dikemas kini dengan penyelesaian MDM anda seperti yang diperlukan tanpa mempengaruhi perkhidmatan lain pada peranti.
Sijil akar pada iPhone, iPad dan Apple Vision Pro
Sijil akar yang dipasang secara manual pada iPhone, iPad atau Apple Vision Pro tidak diselia menerusi profil memaparkan amaran yang berikut, “Memasang sijil “nama sijil” menambahnya ke senarai sijil dipercayai pada iPhone atau iPad anda. Sijil ini tidak akan dipercayai untuk tapak web sehingga anda mendayakannya dalam Seting Kepercayaan Sijil.”
Pengguna kemudian boleh mempercayai sijil pada peranti dengan pergi ke Seting > Umum > Perihal > Seting Kepercayaan Sijil.
Nota: Sijil akar yang dipasang oleh penyelesaian MDM atau pada peranti diselia menyahdayakan pilihan untuk menukar seting kepercayaan.
Sijil akar pada Mac
Sijil yang dipasang secara manual menerusi profil konfigurasi mestilah mempunyai tindakan tambahan dilaksanakan untuk menyelesaikan pemasangan. Selepas profil ditambah, pengguna boleh menavigasi ke Seting > Umum > Profil dan memilih profil di bawah Dimuat Turun.
Pengguna kemudian boleh menyemak butiran, membatalkan atau meneruskan dengan mengklik Pasang. Pengguna mungkin perlu memberikan nama pengguna dan kata laluan pentadbir setempat.
Nota: Dalam macOS 13 atau lebih baharu, secara lalai sijil akar yang dipasang dengan profil konfigurasi secara manual tidak ditandakan sebagai dipercayai untuk TLS. Jika perlu, app Akses Rantai Kekunci boleh digunakan untuk mendayakan kepercayaan TLS. Sijil akar yang dipasang oleh penyelesaian MDM atau pada peranti diselia menyahdayakan pilihan untuk menukar seting kepercayaan dan dipercayai untuk digunakan dengan TLS.
Sijil Perantaraan pada Mac
Sijil perantaraan dikeluarkan dan ditandatangani oleh sijil akar Autoriti Sijil dan ia boleh diurus pada Mac menggunakan app Akses Rantai Kunci. Sijil perantaraan ini mempunyai tarikh tamat tempoh yang lebih pendek berbanding kebanyakan sijil akar dan digunakan oleh organisasi supaya pelayar web mempercayai tapak web yang berkaitan dengan sijil perantaraan. Pengguna boleh mencari sijil perantaraan yang telah tamat tempoh dengan melihat rantai kunci Sistem dalam Akses Rantai Kunci.
Sijil S/MIME pada Mac
Jika pengguna memadamkan sebarang sijil S/MIME daripada rantai kunci, mereka tidak lagi membaca e-mel sebelumnya yang disulitkan menggunakan sijil ini.