Úvod do správy certifikátov pre Apple zariadenia
Apple zariadenia podporujú digitálne certifikáty a identity a dávajú tak vašej organizácii priamy prístup k podnikovým službám. Tieto certifikáty je možné používať rôznymi spôsobmi. Napríklad prehliadač Safari môže skontrolovať platnosť digitálneho certifikátu X.509 a vytvoriť zabezpečenú reláciu až do 256-bitového šifrovania AES. Patrí sem i overenie legitimity stránky a či je webová stránka chránená, s cieľom predchádzať krádeži osobných alebo dôverných údajov. Certifikáty je možné používať aj na zaručenie identity autora alebo „podpisovateľa“ a na šifrovanie emailov, konfiguračných profilov a sieťovej komunikácie.
Používanie certifikátov s Apple zariadeniami
Apple zariadenia obsahujú množstvo predinštalovaných koreňových certifikátov od rôznych certifikačných autorít a systémy iOS, iPadOS, macOS a visionOS overujú dôveryhodnosť týchto koreňových certifikátov. Tieto digitálne certifikáty je možné používať na bezpečnú identifikáciu klienta alebo servera, prípadne na zašifrovanie komunikácie medzi nimi pomocou páru verejného a súkromného kľúča. Certifikát obsahuje verejný kľúč, informácie o kliente (alebo servere) a je podpísaný (overený) CA.
Ak systém iOS, iPadOS, macOS alebo visionOS nedokáže overiť reťazec dôveryhodnosti podpisujúcej certifikačnej autority, služba ohlási chybu. Sebou podpísaný certifikát nie je možné overiť bez interakcie s užívateľom. Viac informácií nájdete v článku podpory Apple Zoznam dostupných dôveryhodných koreňových certifikátov v systémoch iOS 17, iPadOS 17, macOS 14, tvOS 17 a watchOS 10.
iPhony, iPady a Macy dokážu aktualizovať certifikáty bezdrôtovo (a Mac aj cez sieť Ethernet) v prípade narušenia bezpečnosti niektorého predinštalovaného certifikátu. Túto funkciu môžete zakázať cez riešenie správy mobilných zariadení (MDM) pomocou obmedzenia „Povoliť automatické aktualizácie nastavení dôveryhodnosti certifikátu”, ktoré zabraňuje aktualizácii certifikátov cez bezdrôtové alebo káblové siete.
Podporované typy identít
Certifikát a jeho pridružený súkromný kľúč sú známe ako identita. Certifikáty je možné voľne distribuovať, ale identity je nutné uchovávať zabezpečené. Voľne distribuovaný certifikát, a hlavne jeho verejný kľúč, sa používajú na šifrovanie, ktoré je možné dešifrovať iba zodpovedajúcim súkromným kľúčom. Časť identity, ktorá je súkromným kľúčom, je uložená ako súbor certifikátu identity PKCS #12 (.p12) a je zašifrovaná iným kľúčom, ktorý je chránený heslom. Identitu je možné použiť na autentifikáciu (napríklad 802.1X EAP-TLS), podpisovanie alebo šifrovanie (napríklad S/MIME).
Certifikáty a formáty identity podporované Apple zariadeniami sú:
Certifikát: Certifikáty .cer, .crt, .der, X.509 s RSA kľúčmi
Identita: .pfx, .p12
Dôveryhodnosť certifikátu
Ak bol certifikát vydaný certifikačnou autoritou, ktorej koreň nie je v zozname dôveryhodných koreňových certifikátov, systémy iOS, iPadOS, macOS alebo visionOS takémuto certifikátu nebudú dôverovať. Je to často prípad CA vydávaných podnikom. Na vytvorenie dôvery použite metódu opísanú v sekcii o nasadení certifikátov. Nastaví sa tým ukotvenie dôvery v implementovanom certifikáte. V prípade viacradových infraštruktúr s verejnými kľúčmi môže byť potrebné nadviazať dôveryhodnosť nielen s koreňovým certifikátom, ale aj so všetkými prostredníkmi v danom reťazci. Dôveryhodnosť podniku je často nakonfigurovaná v jednom konfiguračnom profile, ktorý môže byť podľa potreby aktualizovaný vaším riešením MDM, bez obmedzovania iných služieb na zariadení.
Koreňové certifikáty na iPhone, iPade a Apple Vision Pro
Koreňové certifikáty nainštalované manuálne prostredníctvom profilu na iPhonoch, iPadoch alebo Apple Vision Pro, na ktorých sa nevykonáva dohľad, zobrazia nasledujúce varovanie: „Inštaláciou certifikátu „názov certifikátu“ ho pridáte do zoznamu dôveryhodných certifikátov na vašom iPhone alebo iPade.“ Tento certifikát nebude pre webové stránky dôveryhodný, kým ho nepovolíte v Nastaveniach dôvery certifikátov.
Užívateľ môže následne označiť certifikát ako dôveryhodný na zariadení v časti Nastavenia > Všeobecné > Informácie > Nastavenia dôvery certifikátov.
Poznámka: Koreňové certifikáty nainštalované na riešení MDM alebo na zariadeniach pod dohľadom zakážu možnosť zmeny nastavení dôveryhodnosti.
Koreňové certifikáty na Macu
Certifikáty nainštalované manuálne cez konfiguračný profil musia na dokončenie inštalácie vykonať dodatočnú akciu. Po pridaní profilu môže užívateľ prejsť na Nastavenia > Všeobecné > Profily a v časti Stiahnuté vybrať profil.
Užívateľ si potom môže prezrieť podrobnosti, zrušiť akciu alebo pokračovať kliknutím na Inštalovať. Užívateľ môže byť vyzvaný na zadanie užívateľského mena lokálneho správcu a hesla.
Poznámka: V systéme macOS 13 alebo novšom nie sú v predvolenom nastavení koreňové certifikáty, ktoré boli nainštalované manuálne pomocou konfiguračného profilu, považované za dôveryhodné pre TLS. V prípade potreby môže byť na povolenie dôveryhodnosti TLS použitá apka Kľúčenka. Koreňové certifikáty nainštalované na riešení MDM alebo na zariadeniach pod dohľadom zakážu možnosť zmeny nastavení dôveryhodnosti a sú dôveryhodné na používanie s TLS.
Sprostredkujúce certifikáty na Macu
Sprostredkujúce certifikáty sú vydávané a podpisované koreňovým certifikátom certifikačných autorít a v Macu ich možno spravovať pomocou apky Kľúčenka. Tieto sprostredkujúce certifikáty majú kratšiu dobu platnosti ako väčšina koreňových certifikátov a organizácie ich používajú s cieľom potvrdiť webovým prehliadačom dôveryhodnosť webových stránok, ktoré sú so sprostredkujúcim certifikátom združené. Užívatelia môžu v apke Kľúčenka vyhľadať predchádzajúce sprostredkujúce certifikáty v systémovom zväzku kľúčov.
Certifikáty S/MIME na Macu
Ak užívateľ odstráni zo svojho zväzku kľúčov certifikáty S/MIME, stratí možnosť čítať predchádzajúce emaily, ktoré boli pomocou týchto certifikátov zašifrované.