مقدمة عن إدارة الشهادات على أجهزة Apple
تدعم أجهزة Apple الشهادات والهويات الرقمية، مما يوفر لمؤسستك وصولاً سلسًا إلى خدمات الشركة. يمكن استخدام هذه الشهادات بعدة طرق مختلفة. على سبيل المثال، يمكن لمتصفح سفاري أن يقوم بالتحقق من صلاحية شهادة X.509 رقمية وتأسيس جلسة آمنة بتشفير AES حتى 256 بت. يتضمن ذلك التحقق من أن هوية الموقع شرعية وأن الاتصال بموقع الويب محمي للمساعدة على منع احتجاز البيانات الشخصية أو السرية. يمكن استخدام الشهادات أيضًا لضمان هوية المؤلف أو "الموقّع"، ولتشفير البريد، ملفات تعريف التكوين، واتصالات الشبكة.
استخدام الشهادات مع أجهزة Apple
تحتوي أجهزة Apple على عدد من الشهادات الجذرية المثبتة مسبقًا الصادرة من مجموعة متنوعة من جهات إصدار الشهادات (CA)، ويتحقق iOS و iPadOS و macOS و visionOS من الثقة الخاصة بهذه الشهادات الجذرية. يمكن استخدام هذه الشهادات الرقمية لتعريف العميل أو الخادم بأمان، ولتشفير الاتصال بينها باستخدام زوج المفتاح العام والخاص. تحتوي الشهادة على مفتاح عام، وهو عبارة عن معلومات حول العميل (أو الخادم)، ويتم توقيعها (التحقق منها) بواسطة جهة إصدار الشهادات.
إذا لم يتمكن iOS أو iPadOS أو macOS أو visionOS من التحقق من سلسلة الثقة لجهة إصدار الشهادات الموقّعة، فستواجه الخدمة خطأ. لا يمكن التحقق من الشهادة الموقّعة ذاتيًا دون تدخل المستخدم. لمزيد من المعلومات، انظر مقال دعم Apple قائمة بالشهادات الجذرية الموثوقة المتاحة في iOS 17 و iPadOS 17 و macOS 14 و tvOS 17 و watchOS 10.
يمكن أن تقوم أجهزة iPhone و iPad و Mac بتحديث الشهادات لاسلكيًا (و بالنسبة لأجهزة Mac، عبر شبكة الإيثرنت) إذا أصبحت أي من الشهادات الجذرية المثبّتة مسبقًا معرضةً للاختراق. يمكنك تعطيل هذه الميزة باستخدام قيد إدارة الأجهزة المحمولة (MDM)، "السماح بالتحديثات التلقائية لإعدادات الثقة في الشهادة"، والذي يمنع تحديثات الشهادات عبر الشبكات اللاسلكية أو السلكية.
أنواع الهويات المدعومة
تُعرف الشهادة والمفتاح الخاص المرتبط بها على أنهما هوية. يمكن توزيع الشهادات بحرية، لكن يجب الاحتفاظ بالهويات بشكل آمن. تُستخدم الشهادة الموزعة بحرية - وخصوصًا المفتاح العام الخاص بها - في التشفير الذي لا يمكن فكه إلا بواسطة المفتاح الخاص المطابق. يتم تخزين جزء المفتاح الخاص للهوية كشهادة هوية PKCS #12 وملف (.p12)، وتشفيره بمفتاح آخر محمي بعبارة دخول. يمكن استخدام الهوية في المصادقة (مثل 802.1X EAP-TLS)، أو التوقيع، أو التشفير (مثل S/MIME).
فيما يلي تنسيقات الهوية والشهادات التى تدعمها أجهزة Apple:
الشهادة: شهادات .cer، .crt، .der، X.509 مع مفاتيح RSA
الهوية: .pfx، .p12
الثقة بالشهادة
إذا كانت الشهادة صادرة من جهة إصدار شهادة لا يوجد جذرها في قائمة الشهادات الجذرية الموثوق بها، فلن يثق iOS و iPadOS و macOS و visionOS بالشهادة. وهذا ما يحدث غالبًا في حالات جهات إصدار الشهادة للشركات. لتأسيس الثقة، استخدم الطريقة الموضحة في قسم نشر الشهادة. ويؤدي ذلك إلى تعيين إرساء الثقة في الشهادة قيد النشر. في حالات البنيات الأساسية للمفاتيح العامة متعددة الطبقات، ربما يلزم تأسيس الثقة ليس مع الشهادات الجذرية فقط، بل مع أي مراجع مصدقة وسيطة في السلسلة أيضًا. غالبًا ما يتم تكوين ثقة الشركات في ملف تعريف تكوين واحد يمكن تحديثه من خلال حل MDM حسب الحاجة دون التأثير على الخدمات الأخرى بالجهاز.
الشهادات الأصل على iPhone و iPad و Apple Vision Pro
ستعرض الشهادات الأصل المثبّتة يدويًا على أجهزة iPhone أو iPad أو Apple Vision Pro غير الخاضعة للإشراف من خلال ملف تعريف التحذير الآتي: "تثبيت شهادة "اسم الشهادة" سيؤدي إلى إضافتها إلى قائمة الشهادات الموثوق بها على iPhone أو iPad. ولن يتم الوثوق في هذه الشهادة لمواقع الويب حتى تقوم بتمكينها في إعدادات ثقة الشهادات".
يمكن للمستخدم حينئذٍ الوثوق بالشهادة على الجهاز بالانتقال إلى الإعدادات > عام > حول > إعدادات ثقة الشهادة.
ملاحظة: تقوم الشهادات الجذرية المثبّتة بواسطة أحد حلول MDM أو على أجهزة خاضعة للإشراف بتعطيل خيار تغيير إعدادات الثقة.
الشهادات الأصل على الـ Mac
يجب أن تحتوي الشهادات المثبتة يدويًا من خلال ملف تعريف التكوين على إجراء إضافي يتم تنفيذه لإكمال التثبيت. بعد إضافة ملف التعريف، يمكن للمستخدم الانتقال إلى الإعدادات > عام > ملفات التعريف وتحديد ملف التعريف ضمن ما تم تنزيله.
يمكن للمستخدم بعد ذلك مراجعة التفاصيل أو الإلغاء أو المتابعة بالنقر على تثبيت. قد يحتاج المستخدم إلى توفير اسم مستخدم وكلمة سر للمسؤول المحلي.
ملاحظة: في macOS 13 أو أحدث، لا يتم وضع علامة على الشهادات الأصل المثبتة يدويًا مع ملف تعريف التكوين على أنها موثوقة لـ TLS بشكل افتراضي. إذا لزم الأمر، يمكن استخدام تطبيق الوصول إلى سلسلة المفاتيح لتمكين ثقة TLS. تقوم الشهادات الأصل المثبّتة بواسطة أحد حلول MDM أو على الأجهزة الخاضعة للإشراف بتعطيل خيار تغيير إعدادات الثقة وموثوق بها للاستخدام مع TLS.
الشهادات الوسيطة على Mac
يتم إصدار الشهادات الوسيطة وتوقيعها بواسطة الشهادة الجذرية للجهات الموثقة ويمكن إدارتها على Mac باستخدام تطبيق سلسلة مفاتيح الوصول. تتمتع هذه الشهادات الوسيطة بتاريخ انتهاء صلاحية أقصر من معظم الشهادات الجذرية وتستخدمها المؤسسات، لذا تثق متصفحات الويب في مواقع الويب المرتبطة بشهادة وسيطة. يمكن للمستخدمين تحديد موقع الشهادات الوسيطة منتهية الصلاحية من خلال عرض سلسلة مفاتيح النظام في الوصول إلى سلسلة المفاتيح.
شهادات S/MIME على Mac
إذا حذف المستخدم أي شهادات S/MIME من سلسلة المفاتيح، فلن يتمكن بعدها من قراءة البريد الإلكتروني السابق الذي تم تشفيره باستخدام تلك الشهادات.