Einführung in die Zertifikatsverwaltung für Apple-Geräte
Apple-Geräte unterstützen digitale Zertifikate und Identitäten und ermöglichen deiner Organisation so einen effizienten Zugang zu Unternehmensdiensten. Diese Zertifikate lassen sich auf unterschiedliche Weise verwenden. Beispiel: Der Browser Safari kann die Gültigkeit eines digitalen X.509 Zertifikats prüfen und eine sichere Sitzung mit bis zu 256-Bit AES-Verschlüsselung aufbauen. Dabei wird u. a. überprüft, ob die Identität der Website zulässig und die Kommunikation mit der Website geschützt ist. Auf diese Weise wird das Abfangen persönlicher oder vertraulicher Daten verhindert. Zertifikate können auch verwendet werden, um die Identität des Autors oder Unterzeichners zu bestätigen und um E-Mails, Konfigurationsprofile und die Netzwerkkommunikation zu verschlüsseln.
Zertifikate mit Apple-Geräten verwenden
Apple-Geräte umfassen eine Reihe vorab installierter Root-Zertifikate verschiedener Zertifizierungsstellen (CA) und iOS, iPadOS, macOS und visionOS validieren die Vertrauenswürdigkeit dieser Root-Zertifikate. Diese digitalen Zertifikate können verwendet werden, um einen Client oder Server sicher zu identifizieren und die Kommunikation zwischen ihnen mit dem öffentlichen und dem privaten Schlüssel zu verschlüsseln. Ein Zertifikat enthält einen öffentlichen Schlüssel, Informationen über den Client (oder Server) und ist von einer CA signiert (überprüft).
Wenn iOS, iPadOS, macOS oder visionOS die Vertrauenskette der signierenden CA nicht validieren kann, tritt ein Fehler auf. Ein selbstsigniertes Zertifikat kann nicht ohne Benutzerinteraktion überprüft werden. Weitere Informationen findest du im Apple Support-Artikel Liste verfügbarer vertrauenswürdiger Root-Zertifikate in iOS 17, iPadOS 17, macOS 14, tvOS 17 und watchOS 10.
iPhone-, iPad- und Mac-Geräte können Zertifikate drahtlos (und für Macs über Ethernet) aktualisieren, falls eines der vorinstallierten Root-Zertifikate beschädigt wird. Du kannst diese Funktion mit der MDM-Einschränkung „Automatische Updates für Trust-Zertifikate erlauben“ deaktivieren, sodass Aktualisierungen von Zertifikaten über kabellose oder verkabelte Netzwerke verhindert werden.
Unterstützte Identitätstypen
Ein Zertifikat und der ihm zugewiesene private Schlüssel werden Identität genannt. Zertifikate können frei verteilt werden, Identitäten müssen hingegen geschützt werden. Frei verteilte Zertifikate – und besonders ihre öffentlichen Schlüssel – werden für die Verschlüsselung verwendet, die nur durch den übereinstimmenden privaten Schlüssel wieder entschlüsselt werden können. Das private Schlüsselelement einer Identität wird als PKCS #12-Identitätszertifikati (.p12) gespeichert und mit einem anderen Schlüssel verschlüsselt, der durch ein Passwort geschützt wird. Eine Identität kann zur Authentifizierung (wie 802.1X EAP-TLS), Signierung oder Verschlüsselung (wie S/MIME) genutzt werden.
Von Apple-Geräten werden die folgenden Zertifikat- und Identitätsformate unterstützt:
Zertifikat: .cer-, .crt-, .der-, X.509-Zertifikate mit RSA-Schlüsseln
Identität: .pfx, .p12
Vertrauenswürdigkeit von Zertifikaten
iOS, iPadOS, macOS und visionOS vertrauen einem Zertifikat nicht, wenn dieses von einer Zertifizierungsstelle (CA) ausgegeben wurde, deren Root nicht in der Liste der vertrauenswürdigen Root-Zertifikate enthalten ist. Dies ist oftmals bei Zertifizierungsstellen von Unternehmen der Fall. Unter Implementierung von Zertifikaten wird beschrieben, wie du die Vertrauenswürdigkeit herstellst. Dadurch erhält das zu implementierende Zertifikat einen Vertrauensanker. Für aus mehreren Ebenen bestehende Infrastrukturen mit öffentlichen Schlüsseln kann es erforderlich sein, nicht nur mit dem Root-Zertifikat, sondern auch mit Intermediate-Zertifikaten in der Kette Vertrauen aufzubauen. Unternehmensvertrauen wird häufig in einem Konfigurationsprofil konfiguriert, das bei Bedarf mit deiner MDM-Lösung aktualisiert werden kann, ohne dass sich dies auf andere Dienste auf dem Gerät auswirkt.
Root-Zertifikate auf iPhone, iPad und Apple Vision Pro
Root-Zertifikate, die manuell auf einem nicht betreuten iPhone, iPad oder einer Apple Vision Pro über ein Profil installiert wurden, blenden eine Warnmeldung wie diese ein: „Durch die Installation wird das Zertifikat „Name des Zertifikats“ zur Liste der vertrauenswürdigen Zertifikate auf deinem iPhone oder iPad hinzugefügt. Websites werden diesem Zertifikat erst vertrauen, wenn es in den Zertifikatsvertrauenseinstellungen aktiviert wurde.“
Der Benutzer kann das Zertifikat auf dem Gerät unter „Einstellungen“ > „Allgemein“ > „Über“ > „Einstellungen“ > „Vertrauenswürdige Zertifikate“ als vertrauenswürdig einstufen.
Hinweis: Root-Zertifikate, die über eine MDM-Lösung oder auf betreuten Geräten installiert wurden, deaktivieren die Option, sodass diese Einstellungen geändert werden.
Root-Zertifikate auf dem Mac
Für manuell über ein Konfigurationsprofil installierte Zertifikate muss eine zusätzliche Aktion durchgeführt werden, um die Installation abzuschließen. Nachdem das Profil hinzugefügt wurde, kann der Benutzer „Einstellungen“ > „Allgemein“ > „Profile“ öffnen und das Profil unter „Geladen“ auswählen.
Im Anschluss kann der Benutzer die Details überprüfen, die Aktion abbrechen oder den Vorgang mit einem Klick auf „Installieren“ fortsetzen. Der Benutzer muss möglicherweise den Benutzernamen und das zugehörige Passwort eines lokalen Admins eingeben.
Hinweis: In macOS 13 (oder neuer) werden manuell mit einem Konfigurationsprofil installierte Root-Zertifikate nicht für TLS als „vertrauenswürdig“ eingestuft. Falls notwendig, kann die App „Schlüsselbundverwaltung“ verwendet werden, um die TLS-Vertrauenswürdigkeit zu aktivieren. Root-Zertifikate, die über eine MDM-Lösung oder auf betreuten Geräten installiert wurden, deaktivieren die Option, um die Einstellungen für die Vertrauenswürdigkeit zu ändern. Ihnen wird bei der Verwendung mit TLS vertraut.
Intermediate-Zertifikate auf dem Mac
Intermediate-Zertifikate werden vom Root-Zertifikat der Zertifizierungsstelle ausgegeben und signiert. Sie können mit der App „Schlüsselbundverwaltung“ auf einem Mac verwaltet werden. Diese Intermediate-Zertifikate haben ein kürzeres Ablaufdatum als die meisten Root-Zertifikate und werden von Organisationen eingesetzt. Benutzer können abgelaufene Intermediate-Zertifikate im Systemschlüsselbund der Schlüsselbundverwaltung ausfindig machen.
S/MIME-Zertifikate auf dem Mac
Wenn Benutzer S/MIME-Zertifikate aus ihrem Schlüsselbund löschen, können sie eingegangene E-Mails, die mit diesen Zertifikaten verschlüsselt wurden, nicht mehr lesen.