Introducción a la administración de certificados en dispositivos Apple
Los dispositivos Apple son compatibles con certificados e identidades digitales, lo que ofrece a tu organización un acceso eficiente a los servicios corporativos. Dichos certificados se pueden usar de varias maneras. Por ejemplo, el navegador Safari puede comprobar la validez de un certificado digital X.509 y configurar una sesión segura con encriptación AES de hasta 256 bits. Esto conlleva verificar que la identidad del sitio sea legítima y que la comunicación con el sitio web esté protegida para ayudar a evitar la interceptación de datos personales o confidenciales. Los certificados también se utilizan para garantizar la identidad del autor o del firmante y para encriptar el correo electrónico, los perfiles de configuración y las comunicaciones de red.
Usar certificados con dispositivos Apple
Los dispositivos Apple incluyen una serie de certificados raíz personalizados de varias autoridades de certificación (CA) y iOS, iPadOS, macOS y visionOS validan la confianza de dichos certificados raíz. Dichos certificados digitales se pueden utilizar para identificar a un cliente o servidor de forma segura, así como para encriptar la comunicación entre ellos mediante el par de claves pública y privada. Un certificado contiene una clave pública, información sobre el cliente (o servidor) y está firmado (verificado) mediante un CA.
En caso de que iOS, iPadOS, macOS o visionOS no puedan certificar la cadena de confianza de la CA firmante, el servicio indicará que se ha detectado un error. Los certificados autofirmados no pueden verificarse sin la interacción del usuario. Para obtener más información, consulta el artículo de soporte de Apple Lista de certificados raíz de confianza disponibles en iOS 17, iPadOS 17, macOS 14, tvOS 17 y watchOS 10.
Si la seguridad de los certificados raíz preinstalados se ve amenazada, los dispositivos iPhone, iPad y Mac pueden actualizar los certificados inalámbricamente (y por Ethernet en el caso de las computadoras Mac). Puedes desactivar esta función con la restricción de administración de dispositivos móviles (MDM) Permitir actualizaciones automáticas de configuración de confianza de certificados que impide la actualización de los certificados, ya sea vía inalámbrica o por cable.
Compatibilidad con tipos de identidades
El certificado y su clave privada asociada se denominan identidad. Los certificados pueden distribuirse libremente, pero las identidades deben mantenerse protegidas. El certificado de distribución libre y, especialmente, su parte de clave pública se utilizan para la encriptación que sólo se puede desencriptar mediante la clave privada correspondiente. La parte de clave privada de una identidad se almacena en archivo de certificado de identidad PKCS #12 (.p12) y se encripta mediante otra clave que está protegida con una contraseña. La identidad se puede utilizar para realizar autenticaciones (como 802.1X EAP-TLS), firmas o encriptaciones (como S/MIME).
Los dispositivos Apple son compatibles con los siguientes formatos de certificados e identidades:
Certificado: .cer, .crt, .der, certificados X.509 con claves RSA
Identidad: .pfx, .p12
Certificados de confianza
Si se ha emitido un certificado de una autoridad de certificación (CA) cuya raíz no está en la lista de certificados raíz de confianza, iOS, iPadOS, macOS o visionOS no confiarán en el certificado. Este suele ser el caso de las CA emisoras de empresa. Para indicar que es de confianza, usa el método descrito en implementación de certificados. De este modo, se establece el ancla de confianza en el certificado que se esté implementando. Para infraestructuras de clave pública de varios niveles, es posible que sea necesario establecer la confianza no sólo con el certificado raíz, sino también con cualquier intermediario de la cadena. Muchas veces, la confianza de empresa se configura en un solo perfil de configuración que puede actualizarse con una solución MDM, según sea necesario y sin que esto afecte a otros servicios del dispositivo.
Certificados raíz en dispositivos iPhone, iPad y Apple Vision Pro
Los certificados raíz instalados manualmente en dispositivos iPhone, iPad o Apple Vision Pro no supervisados mediante un perfil mostrarán la advertencia siguiente: La instalación del certificado nombre del certificado lo agregará a la lista de certificados de confianza del iPhone o iPad. Este certificado no será de confianza en sitios web hasta que lo permitas en la configuración de certificados de confianza.
El usuario puede entonces confiar en el certificado del dispositivo desde Configuración > General > Información > Config. certificados de confianza.
Nota: si una solución MDM instala los certificados raíz o estos se instalan en dispositivos supervisados, se desactiva la posibilidad de establecer la configuración de confianza.
Certificado raíz en la Mac
Los certificados instalados manualmente a través de un perfil de configuración deben tener una acción adicional para completar la instalación. Una vez agregado el perfil, el usuario puede ir a Configuración > General > Perfiles, y seleccionar el perfil en Descargado.
Después, el usuario puede revisar los detalles, cancelar o proceder haciendo clic en Instalar. Es posible que el usuario tenga que proporcionar el nombre de usuario y la contraseña de un administrador local.
Nota: en macOS 13 o versiones posteriores, de forma predeterminada los certificados raíz que se instalan manualmente con un perfil de configuración no se marcan como de confianza para TLS. Si es necesario, se puede usar la app Acceso a Llavero para activar la confianza para TLS. Si una solución de MDM instala los certificados raíz o estos se instalan en dispositivos supervisados, se deshabilita la posibilidad de establecer la configuración de confianza, y son de confianza para usar con TLS.
Certificados intermedios en la Mac
Los certificados intermedios se emiten y firman por el certificado raíz de las autoridades de certificados y pueden administrarse en una Mac con la app Acceso a Llaveros. Estos certificados intermedios tienen una fecha de vencimiento más corta que la mayoría de los certificados raíz y los usan las organizaciones para que los navegadores web confíen en sitios web asociados con un certificado intermedio. Los usuarios pueden localizar los certificados intermedios vencidos en el llavero Sistema en Acceso a Llaveros.
Certificados S/MIME en la Mac
Si un usuario borra un certificado S/MIME de su llavero, no podrá leer correos electrónicos anteriores encriptados con esos certificados.