Introduktion till certifikatshantering för Apple-enheter
Apple-enheter har stöd för digitala certifikat och identiteter, vilket ger organisationer tillgång till företagstjänster på ett smidigt sätt. De här certifikaten kan används på flera olika sätt. Webbläsaren Safari kan exempelvis kontrollera giltigheten hos ett digitalt X.509-certifikat och upprätta en säker session med upp till 256-bitars AES-kryptering. Det omfattar att säkerställa att webbplatsens identitet stämmer och att kommunikationen med webbplatsen skyddas, vilket förhindrar avlyssning av privata eller konfidentiella data. Certifikat kan även användas till att garantera skaparens eller ”signerarens” identitet och till att kryptera e-post, konfigurationsprofiler och nätverkskommunikation.
Använda certifikat med Apple-enheter
Apple-enheter innehåller flera förinstallerade rotcertifikat från olika certifikatutfärdare, och iOS, iPadOS, macOS och visionOS validerar tillförlitligheten för dessa rotcertifikat. De här digitala certifikaten kan användas till att säkert identifiera en klient eller server, och till att kryptera kommunikationen mellan dem genom att använda en publik och en privat nyckel. Ett certifikat innehåller en publik nyckel, information om klienten (eller servern) och den är signerad (verifierad) av en certifikatutfärdare.
Om iOS, iPadOS, macOS eller visionOS inte kan validera tillförlitlighetskedjan för den signerande certifikatutfärdaren inträffar ett fel för tjänsten. Ett självsignerat certifikat kan inte verifieras utan att användaren godkänner det. Mer information finns i Apple Support-artikeln Lista över tillgängliga betrodda rotcertifikat i iOS 17, iPadOS 17, macOS 14, tvOS 17 och watchOS 10.
iPhone-, iPad- och Mac-enheter kan uppdatera certifikat trådlöst (eller via Ethernet för Mac-datorer) om säkerheten hos något av de förinstallerade rotcertifikaten har äventyrats. Du kan avaktivera den här funktionen genom att använda MDM-begränsningen ”Allow automatic updates to certificate trust settings” som förhindrar möjligheten att uppdatera certifikat via trådlösa eller kabelbundna nätverk.
Identitetstyper som stöds
Ett certifikat och den privata nyckel som är kopplat till det kallas för en identitet. Certifikat kan distribueras fritt, men identiteter måste skyddas. Det fritt distribuerade certifikatet, och framförallt dess publika nyckel, används för kryptering och kan endast avkrypteras med hjälp av den matchande privata nyckeln. Den privata nyckeln för en identitet lagras som en PKCS #12-identitetscertifikatfil (.p12) som är krypterad med en annan nyckel som är skyddad med en lösenfras. En identitet kan användas för autentisering (som 802.1X EAP-TLS), signering eller kryptering (som S/MIME).
De certifikat- och identitetsformat som Apple-enheter har stöd för är:
Certifikat: .cer, .crt, .der, X.509 med RSA-nycklar
Identitet: .pfx, .p12
Betrodda certifikat
Om ett certifikat har utfärdats av en certifikatutfärdare vars rot inte finns med i listan över betrodda rotcertifikat kommer certifikatet inte att bli betrott i iOS, iPadOS, macOS eller visionOS. Det sker ofta med certifikatutfärdare som distribuerar inom ett företag. Använd metoden som beskrivs i avsnittet Certifikatdriftsättning till att skapa tillförlitlighet. Ett betrott ankare placeras då i det certifikat som distribueras. I infrastrukturer som har publika nycklar med flera nivåer kan det vara nödvändigt att inte endast skapa tillförlitlighet för rotcertifikatet, utan även för andra nivåer i kedjan. Ofta konfigureras företagstillförlitlighet i en enda konfigurationsprofil som kan uppdateras efter behov med en MDM-lösning utan att påverka andra tjänster på enheten.
Rotcertifikat på iPhone, iPad och Apple Vision Pro
Om rotcertifikat installeras manuellt på en oövervakad iPhone, iPad eller Apple Vision Pro via en profil visas följande varning: ”Om du installerar certifikatet ”certifikatets namn” läggs det till i listan med betrodda certifikat på iPhone eller iPad. Webbplatser kommer inte att lita på detta certifikat förrän du aktiverar det i Inställningar för betrodda certifikat”.
Användaren kan sedan ange certifikatet som betrott på enheten genom att öppna Inställningar > Allmänt > Om > Inställningar för betrodda certifikat.
Obs! Rotcertifikat som installeras via en MDM-lösning eller på övervakade enheter avaktiverar alternativet att ändra inställningarna för betrodda certifikat.
Rotcertifikat på datorn
Om ett certifikat installeras manuellt via en konfigurationsprofil måste ytterligare en åtgärd utföras för att slutföra installationen. När profilen har lagts till kan användaren öppna Inställningar > Allmänt > Profiler och välja profilen under Hämtat.
Användaren kan sedan granska detaljerna, avbryta eller fortsätta genom att klicka på Installera. Användaren kan behöva ange användarnamn och lösenord för en lokal administratör.
Obs! I macOS 13 eller senare är förvalet att rotcertifikat som installeras manuellt med en konfigurationsprofil inte markeras som betrodda för TLS. Vid behov kan appen Nyckelhanterare användas till att aktivera TLS-förtroende. Rotcertifikat som installeras via en MDM-lösning eller på övervakade enheter avaktiverar alternativet att ändra inställningarna för betrodda certifikat och är betrodda för användning med TLS.
Mellanliggande certifikat på datorn
Mellanliggande certifikat utfärdas och signeras av certifikatutfärdarens rotcertifikat och kan hanteras på en Mac med appen Nyckelhanterare. De mellanliggande certifikaten är giltiga kortare tid än de flesta rotcertifikaten och används av organisationer så att webbläsare litar på webbplatser som associeras med ett mellanliggande certifikat. Användare kan hitta utgångna mellanliggande certifikat genom att visa nyckelringen System i Nyckelhanterare.
S/MIME-certifikat på datorn
Om användare raderar S/MIME-certifikat från sin nyckelring kan de inte längre läsa äldre mejl som krypterades med de certifikaten.