Rediger godkendelsespolitikker til certifikater
Certifikater bruges meget til beskyttelse af elektroniske oplysninger. For eksempel kan du med et certifikat underskrive e-mail, kryptere et dokument eller oprette forbindelse til et sikkert netværk. Hvert formål kontrolleres af en godkendelsesstrategi, som bestemmer, om et certifikat er gyldigt til det pågældende formål. Et certifikat kan være gyldigt til nogle formål og ikke til andre.
macOS bruger et antal godkendelsespolitikker til at afgøre, om et certifikat er godkendt. Du kan vælge forskellige strategier til hvert certifikat, så du får større kontrol over, hvordan certifikater vurderes.
Godkendelsespolitik | Beskrivelse |
|---|---|
Brug systemstandarder eller ingen værdi anført | Brug standardindstillingen til certifikatet. |
Godkend altid | Du godkender producenten og vil altid tillade adgang til serveren eller programmet. |
Godkend aldrig | Du godkender ikke producenten og vil ikke tillade adgang til serveren eller programmet. |
SSL (Secure Sockets Layer) | Navnet på en servers certifikat skal svare til dens DNS-værtsnavn, før der kan oprettes forbindelse. Kontrol af værtsnavn udføres ikke for SSL-klientcertifikater. Hvis der er et felt til udvidet brug af nøgle, skal det indeholde en passende værdi. |
Sikker post (S/MIME) | E-mail bruger S/MIME til at signere og kryptere beskeder sikkert. Brugerens e-mailadresse skal være opført i certifikatet, og visse felter til nøglebrug skal være inkluderet. |
EAP (Extensible Authentication Protocol) | Når du opretter forbindelse til et netværk, der kræver 802.1X-godkendelse, skal navnet i serverens certifikat svare til dens DNS-værtsnavn. Værtsnavne til klientcertifikater kontrolleres ikke. Hvis der findes et felt til udvidet brug af nøgle, skal det indeholde en passende værdi. |
IP Security (IPSec) | Når certifikater bruges til sikker IP-kommunikation (f.eks. til at etablere en VPN-forbindelse), skal navnet i serverens certifikat svare til dens DNS-værtsnavn. Værtsnavne til klientcertifikater kontrolleres ikke. Hvis der findes et felt til udvidet brug af nøgle, skal det indeholde en passende værdi. |
Kodet signatur | Certifikatet skal indeholde indstillinger til nøglebrug, der udtrykkeligt tillader det at signere kode. |
Tidsstempel | Denne strategi afgør, om certifikatet kan bruges til at oprette et godkendt tidsstempel, som bekræfter, at en digital signatur blev oprettet på et bestemt tidspunkt. |
X.509-basispolitik | Denne strategi afgør certifikatets gyldighed i forhold til grundlæggende krav om, at det f.eks. skal udstedes af en gyldig certifikatmyndighed, men beskæftiger sig ikke med formålet eller den tilladte brug af nøgle. |