Úvod do správy certifikátů na zařízeních Apple
Zařízení Apple podporují digitální certifikáty a identity a poskytují tak vaší organizaci bezproblémový přístup k podnikovým službám. Certifikáty lze používat mnoha různými způsoby. Prohlížeč Safari může například zkontrolovat platnost digitálního certifikátu X.509 a zahájit zabezpečenou relaci s 256bitovým šifrováním AES. Součástí tohoto postupu je prověření, zda je identita serveru legitimní a zda je komunikace s webovou stránkou chráněna, což pomáhá zabránit nepovolanému zachycení osobních nebo důvěrných dat. Prostřednictvím certifikátů lze také zaručit identitu autora či podepisujícího subjektu a šifrovat poštu, konfigurační profily a síťovou komunikaci.
Používání certifikátů na zařízeních Apple
Na zařízeních Apple je k dispozici řada předinstalovaných kořenových certifikátů od různých certifikačních autorit (CA) a systémy iOS, iPadOS, macOS a visionOS ověřují důvěryhodnost těchto kořenových certifikátů. Tyto digitální certifikáty lze používat k zabezpečené identifikaci klienta či serveru a k šifrování komunikace mezi nimi s využitím dvojice veřejného a soukromého klíče. Certifikát obsahuje veřejný klíč, informace o klientovi (nebo serveru) a je podepsán (ověřen) certifikační autoritou.
Pokud se systému iOS, iPadOS, macOS nebo visionOS nepodaří ověřit řetězec důvěryhodnosti podepsané certifikační autority, služba ohlásí chybu. Certifikáty s vlastním podpisem nelze ověřit bez interakce s uživatelem. Další informace najdete v článku podpory Apple: Seznam dostupných důvěryhodných kořenových certifikátů v iOS 18, iPadOS 18, macOS 15, tvOS 18, visionOS 2 a watchOS 11.
Pokud dojde k narušení bezpečnosti některého z předinstalovaných kořenových certifikátů, na zařízeních iPhone, iPad, Mac a Apple Vision Pro lze certifikáty aktualizovat bezdrátově (a v případě počítačů Mac také přes Ethernet). Tuto funkci můžete deaktivovat pomocí omezení správy zařízení „Allow automatic updates to certificate trust settings“, které aktualizaci certifikátů přes bezdrátové i kabelové sítě zakazuje.
Podporované typy identity
Kombinaci certifikátu a přidruženého soukromého klíče nazýváme identita. Certifikáty lze volně šířit, ale identity je nutné uchovávat v tajnosti. Volně distribuovaný certifikát a zejména jeho veřejný klíč se používají k šifrování dat, která pak lze dešifrovat jen pomocí odpovídajícího soukromého klíče. Část identity tvořená soukromým klíčem se ukládá v podobě souboru certifikátu identity PKCS #12 (.p12) a je šifrována pomocí jiného klíče chráněného přístupovým heslem. Identitu lze použít k ověřování (např. 802.1X EAP-TLS), podepisování a šifrování (např. S/MIME).
Zařízení Apple podporují následující formáty certifikátů a identit:
Certifikát: .cer, .crt, .der, X.509 s klíči RSA
Identita: .pfx, .p12
Důvěryhodnost certifikátů
Pokud certifikát vydala certifikační autorita, jejíž kořen není uvedený v seznamu důvěryhodných kořenových certifikátů, systém iOS, iPadOS, macOS nebo visionOS mu nebude důvěřovat. Tato situace často nastává zejména u podnikových certifikačních autorit. K ustavení důvěryhodnosti je pak nutné použít metodu popsanou v části Nasazení certifikátů. Tímto způsobem je nasazovaný certifikát definován jako kotva důvěryhodnosti. U vícevrstvé infrastruktury veřejných klíčů může být nezbytné ustavit důvěryhodnost nejen pro kořenový certifikát, ale také pro všechny další mezistupně v řetězci. Důvěryhodnost na úrovni podniku se doporučuje nakonfigurovat v jediném konfiguračním profilu, který můžete podle potřeby aktualizovat ve službě správy zařízení, aniž by tím byly ovlivněny další služby dostupné na zařízení.
Kořenové certifikáty na iPhonu, iPadu a Apple Vision Pro
Pro kořenové certifikáty, které uživatel instaluje na iPhone iPad nebo Apple Vision Pro bez dohledu ručně pomocí profilu, se zobrazí následující varování: „Instalací bude certifikát ‚název certifikátu‘ přidán do seznamu důvěryhodných certifikátů v iPhonu nebo iPadu“. Dokud jej neaktivujete v nastavení Důvěryhodnost certifikátu, nebude důvěryhodný na webových stránkách.“
Uživatel pak může označit certifikát jako důvěryhodný v Nastavení > Obecné > Informace > Důvěryhodnost certifikátu.
Poznámka: U kořenových certifikátů na zařízeních pod dohledem a u kořenových certifikátů, které nainstalovala služba správy zařízení, je možnost změny nastavení důvěryhodnosti deaktivovaná.
Kořenové certifikáty na Macu
U certifikátů instalovaných ručně prostřednictvím konfiguračního profilu je k dokončení instalace nutné provést ještě další akci. Po přidání profilu může uživatel přejít do nabídky Nastavení > Obecné > Profily a vybrat profil v části Stažené položky.
Uživatel pak může zkontrolovat podrobnosti, akci zrušit nebo pokračovat kliknutím na tlačítko Instalovat. Může se stát, že uživatel bude potřebovat zadat uživatelské jméno a heslo místního správce.
Poznámka: Na Macích se systémem macOS 13 nebo novějším tento operační systém standardně neoznačuje kořenové certifikáty, které jste nainstalovali ručně pomocí konfiguračního profilu, jako důvěryhodné pro zabezpečení TLS. V případě potřeby můžete důvěryhodnost pro zabezpečení TLS nastavit v aplikaci Klíčenka. U kořenových certifikátů na zařízeních pod dohledem a u kořenových certifikátů, které nainstalovala služba správy zařízení, je možnost změny nastavení důvěryhodnosti deaktivovaná a systém macOS je považuje za důvěryhodné pro zabezpečení TLS.
Zprostředkující certifikáty na Macu
Zprostředkující certifikáty jsou vydávány a podepisovány kořenovým certifikátem certifikačních autorit a lze je v Macu spravovat pomocí aplikace Klíčenka. Tyto zprostředkující certifikáty mají kratší dobu platnosti než většina kořenových certifikátů a organizace je používají s cílem potvrdit webovým prohlížečům důvěryhodnost webových stránek, které jsou se zprostředkujícím certifikátem sdružené. Uživatelé můžou v aplikaci Klíčenka vyhledat prošlé zprostředkující certifikáty v systémovém svazku klíčů.
Certifikáty S/MIME na Macu
Pokud uživatel odstraní ze svého svazku klíčů certifikáty S/MIME, ztratí možnost číst předchozí e‑maily, které byly pomocí těchto certifikátů zašifrovány.