macOS High Sierra

Kriterien für die Vertrauenswürdigkeit von Zertifikaten

Zertifikate sind ein weit verbreitetes Mittel zur Wahrung der Sicherheit elektronischer Informationen. Ein Zertifikat kann dir beispielsweise erlauben, E-Mails zu unterzeichnen, ein Dokument zu verschlüsseln oder eine Verbindung zu einem sicheren Netzwerk herzustellen. Jeder Verwendungszweck wird durch Kriterien für die Vertrauenswürdigkeit definiert, die festlegen, wann ein Zertifikat gültig ist und verwendet werden kann. Ein Zertifikat kann für bestimmte Zwecke gültig, für andere Zwecke aber ungültig sein.

macOS verwendet mehrere Kriterien für die Vertrauenswürdigkeit, um festzulegen, ob ein Zertifikat vertrauenswürdig ist. Du kannst für jedes Zertifikat andere Richtlinien festlegen, vorausgesetzt, die ausgewerteten Zertifikate unterliegen dadurch einer strengeren Kontrolle.

Schlüsselbundverwaltung öffnen

KRITERIEN FÜR DIE VERTRAUENSWÜRDIGKEIT

BESCHREIBUNG

System-Standards verwenden oder keine Angabe eines Werts

Verwende die Standardeinstellung für das Zertifikat.

Immer vertrauen

Du vertraust dem Autor und gewährst ihm immer Zugriff auf den Server oder die App.

Nie vertrauen

Du vertraust dem Autor nicht und gewährst ihm keinen Zugriff auf den Server oder die App.

Secure Sockets Layer (SSL)

Der Name in einem Serverzertifikat muss mit dem Namen des DNS-Hosts übereinstimmen, damit eine Verbindung erfolgreich aufgebaut werden kann. Bei SSL-Clientzertifikaten erfolgt keine Überprüfung des Hostnamens. Wenn ein Feld für die erweiterte Schlüsselverwendung vorhanden ist, muss es einen gültigen Wert enthalten.

Secure Mail (S/MIME)

Bei E-Mails wird S/MIME für die sichere Signierung und die Verschlüsselung verwendet. Dies setzt voraus, dass die E-Mail-Adresse des Benutzers im Zertifikat aufgeführt und bestimmte Felder für die Schlüsselverwendung hinzugefügt werden.

Extensible Authentication Protocol (EAP)

Zum Verbinden mit einem Netzwerk, das eine 802.1X-Authentifizierung erfordert, muss der Name im Zertifikat des Servers mit dem Namen des DNS-Hosts übereinstimmen. Die Hostnamen für Clientzertifikate werden nicht geprüft. Wenn ein Feld für die erweiterte Schlüsselverwendung vorhanden ist, muss es einen gültigen Wert enthalten.

IP Security (IPsec)

Wenn Zertifikate dazu verwendet werden, den IP-Verkehr zu sichern (z. B. beim Aufbau einer VPN-Verbindung), muss der Name im Zertifikat des Servers mit dem Namen des DNS-Host übereinstimmen. Die Hostnamen für Clientzertifikate werden nicht geprüft. Wenn ein Feld für die erweiterte Schlüsselverwendung vorhanden ist, muss es einen gültigen Wert enthalten.

Code-Signierung

Das Zertifikat muss Einstellungen für die Schlüsselverwendung enthalten, die das Signieren von Code ausdrücklich gestatten.

Zeitstempel

Diese Richtlinie bestimmt, ob das Zertifikat für das Erstellen eines vertrauenswürdigen Zeitstempels verwendet werden kann; auf diese Weise wird verifiziert, dass eine digitale Signatur zu einem bestimmten Zeitpunkt vorgenommen wurde.

X.509-Standardrichtlinien

Diese Richtlinie bestimmt die Gültigkeit des Zertifikats auf der Basis grundlegender Anforderungen wie der Frage, ob das Zertifikat von einer gültigen Zertifizierungsstelle stammt. Der Zweck oder die zulässigen Nutzungsweisen des Schlüssels bleiben dabei aber außer Acht.