Introducere în gestionarea certificatelor pentru dispozitivele Apple
Dispozitivele Apple sunt compatibile cu identitățile și certificatele digitale, oferind organizației dvs. acces optimizat la serviciile corporative. Aceste certificate pot fi utilizate în diverse moduri. De exemplu, browserul Safari poate verifica validitatea unui certificat digital X.509 și poate stabili o sesiune securizată cu criptare AES de până la 256 de biți. Acest lucru înseamnă că se verifică legitimitatea identității site-ului și dacă este protejată comunicația cu site-ul web, pentru a ajuta la prevenirea interceptării datelor personale sau confidențiale. De asemenea, certificatele pot fi utilizate pentru a garanta identitatea autorului sau a „semnatarului” și pentru a cripta e-mailurile, profilurile de configurare și comunicațiile din rețea.
Utilizarea certificatelor pe dispozitivele Apple
Dispozitivele Apple includ o serie de certificate rădăcină preinstalate, de la diverse Autorități de Certificare (CA-uri), iar iOS, iPadOS, macOS și visionOS validează încrederea în aceste certificate rădăcină. Aceste certificate digitale pot fi utilizate pentru a identifica securizat un client sau un server și pentru a cripta comunicațiile între aceștia utilizând perechea de chei publică/privată. Un certificat conține o cheie publică, informații despre client (sau server) și este semnată (verificată) de către o AC.
Dacă dispozitivul iOS, iPadOS, macOS sau visionOS nu poate valida lanțul de încredere al CA semnatare, serviciul generează o eroare. Un certificat auto-semnat nu poate fi verificat fără interacțiunea cu utilizatorului. Pentru informații suplimentare, consultați articolul de asistență Apple Lista de certificate rădăcină de încredere disponibile în iOS 17, iPadOS 17, macOS 14, tvOS 17 și watchOS 10.
În cazul în care vreunul dintre certificatele rădăcină preinstalate a fost compromis, dispozitivele iPhone, iPad și Mac pot actualiza certificatele wireless (și, pentru Mac, prin Ethernet). Puteți dezactiva această funcționalitate utilizând restricția soluției de gestionare a dispozitivelor mobile (MDM) “Permite actualizări automate ale configurărilor de încredere ale certificatului“, ceea ce previne actualizările certificatelor wireless sau prin rețele cablate.
Tipuri de identitate compatibile
Un certificat și cheia privată asociată acestuia sunt cunoscute ca identitate. Certificatele pot fi distribuite liber, dar identitățile trebuie să fie păstrate în siguranță. Certificatul distribuit liber, și în special cheia publică a acestuia, sunt utilizate pentru criptare, care poate fi decriptată numai de cheia privată corespunzătoare. Cheia privată care face parte dintr-o identitate este stocată ca fișier de certificat de identitate PKCS #12 (.p12) și criptată cu o altă cheie care este protejată printr-o frază de acces. O identitate poate fi utilizată pentru autentificare (cum ar fi 802.1X EAP-TLS), semnare sau criptare (cum ar fi S/MIME).
Formatele de certificat și identitate acceptate de dispozitivele Apple sunt:
Certificat: .cer, .crt, .der, certificate X.509 cu chei RSA
Identitate: .pfx, .p12
Încrederea în certificat
Dacă un certificat a fost emis de o AC a cărei rădăcină nu se află în lista certificatelor rădăcină de încredere, iOS, iPadOS, macOS sau visionOS nu vor avea încredere în certificat. Acesta este, adesea, cazul AC-urilor organizaționale. Pentru acordarea încrederii, utilizați metoda descrisă în Implementarea certificatelor. În acest fel se configurează ancora de încredere la certificatul în curs de implementare. În cazul infrastructurilor de chei publice pe mai multe niveluri, ar putea fi necesară stabilirea încrederii nu doar pentru certificatul rădăcină ci și pentru toate elementele intermediare din lanț. Adesea, încrederea organizațională este configurată într-un singur profil de configurare ce poate fi actualizat cu soluția dvs. MDM, după cum este necesar, fără să fie afectate alte servicii de pe dispozitiv.
Certificatele rădăcină pe iPhone, iPad și Apple Vision Pro
Certificatele rădăcină instalate manual printr-un profil pe un iPhone, iPad sau Apple Vision Pro nesupervizat afișează avertismentul următor: “Instalarea certificatului “numele certificatului” îl adaugă în lista certificatelor de încredere de pe iPhone‑ul sau iPad‑ul dvs. Acest certificat va fi autorizat pentru site‑urile web doar după ce îl activați în Configurări încredere certificat.”
Apoi, utilizatorul poate acorda încredere certificatului de pe dispozitiv accesând Configurări > General > Despre > Configurări încredere certificat.
Notă: Certificatele rădăcină instalate cu o soluție MDM sau pe dispozitivele supervizate dezactivează opțiunea de modificare a configurărilor de încredere.
Certificatele rădăcină pe Mac
Certificatele instalate manual prin intermediul unui profil de configurare trebuie să aibă o acțiune suplimentară realizată pentru a finaliza instalarea. După adăugarea profilului, utilizatorul poate să navigheze la Configurări > General > Profiluri și să selecteze profilul de sub Descărcate.
Apoi, utilizatorul poate examina detaliile, anula sau continua făcând clic pe Instalează. Ar putea fi necesar ca utilizatorul să introducă un nume și o parolă de administrator local.
Notă: Pe macOS 13 sau ulterior, în mod implicit, certificatele rădăcină instalate manual printr-un profil de configurare nu sunt marcate drept certificate de încredere pentru TLS. Dacă este necesar, poate fi utilizată aplicația Acces portchei pentru a activa încrederea TLS. Certificatele rădăcină instalate cu o soluție MDM sau pe dispozitivele supervizate dezactivează opțiunea de modificare a configurărilor de încredere și sunt certificate de încredere pentru utilizarea cu TLS.
Certificate intermediare pe Mac
Certificatele intermediare sunt emise și semnate de certificatul rădăcină al autorităților de certificare și pot fi gestionate pe un Mac folosind aplicația Acces portchei. Aceste certificate intermediare au o dată de expirare mai scurtă decât majoritatea certificatelor rădăcină și sunt utilizate de organizații pentru ca browserele web să acorde încredere site-urilor web asociate cu un certificat intermediar. Utilizatorii pot localiza certificatele intermediare expirate vizualizând portcheiul Sistem din Acces portchei.
Certificate S/MIME pe Mac
Dacă un utilizator șterge orice certificate S/MIME din portcheiul său, acestea nu mai pot citi e-mailul anterior care a fost criptat folosind certificatele respective.