Змінення політик довіри до сертифікатів на Mac
Сертифікати широко використовуються для захисту електронної інформації. Наприклад, сертифікат може знадобитися для підписування електронних листів, шифрування документа або під’єднання до захищеної мережі. Для кожної задачі застосовується відповідна політика довіри, яка визначає, чи дійсний сертифікат для такої задачі. Сертифікат може бути дійсним для певних задач і недійсним для інших.
У системі macOS використовується низка політик довіри для визначення надійності сертифіката. Ви можете вибирати різні політики для кожного сертифіката, що дозволить вам краще керувати їх оцінюванням.
Політика довіри | Опис |
|---|---|
Використовувати стандартні «Системні параметри» або значення не вказано | Використовувати стандартні параметри для сертифіката |
Завжди довіряти | Довіряти автору програми та завжди надавати доступ до сервера або програми. |
Ніколи не довіряти | Не довіряти автору програми і не надавати доступ до сервера або програми. |
Протокол захищених з’єднань (SSL) | Для успішного встановлення з’єднання ім’я в сертифікаті сервера має відповідати імені вузла DNS. Для клієнтських сертифікатів SSL перевірка імені вузла не виконується. За наявності поля розширеного використання ключа воно має містити відповідне значення. |
Захищена пошта (S/MIME) | Електронна пошта використовує сертифікат S/MIME, щоб безпечно підписувати та шифрувати повідомлення. У сертифікаті має бути вказана адреса електронної пошти користувача та включені поля використання ключа. |
Розширена автентифікація (EAP) | У разі з’єднання з мережею, яка потребує автентифікації 802.1X, ім’я в сертифікаті сервера має відповідати імені вузла DNS. Імена вузлів клієнтських сертифікатів не перевіряються. За наявності поля розширеного використання ключа воно має містити відповідне значення. |
Захист IP (IPsec) | Коли сертифікати використовуються для захисту зв’язку за інтернет-протоколами (наприклад, під час встановлення VPN-з’єднання), ім’я в сертифікаті сервера має відповідати імені вузла DNS. Імена вузлів клієнтських сертифікатів не перевіряються. За наявності поля розширеного використання ключа воно має містити відповідне значення. |
Підписування коду | Сертифікат має містити параметри використання ключа, які чітко дозволяються підписування коду. |
Проставлення часових міток | Ця політика визначає придатність сертифіката для створення надійної часової мітки, яка перевіряє, щоб цифровий підпис було поставлено в певний час. |
Основна політика X.509 | Ця політика визначає дійсність сертифіката щодо основних вимог, наприклад, що сертифікат видав дійсний центр сертифікації, але без зауважень про мету або дозволене використання ключа. |