Introducción a la gestión de certificados para dispositivos Apple
Los dispositivos Apple son compatibles con certificados y las identidades digitales, lo que ofrece a tu empresa un acceso sencillo a los servicios corporativos. Dichos certificados se pueden usar de varias maneras. Por ejemplo, el navegador Safari puede comprobar la validez de un certificado digital X.509 y configurar una sesión segura con encriptación AES de hasta 256 bits. Esto conlleva verificar que la identidad del sitio sea legítima y que la comunicación con el sitio web esté protegida para ayudar a evitar la interceptación de datos personales o sensibles. Los certificados también se utilizan para garantizar la identidad del autor o del “firmante” y para encriptar el correo electrónico, los perfiles de configuración y las comunicaciones de red.
Usar los certificados con dispositivos Apple
Los dispositivos Apple incluyen una serie de certificados raíz personalizados de varias autoridades de certificación (CA) y iOS, iPadOS, macOS y visionOS validan la confianza de dichos certificados raíz. Dichos certificados digitales se pueden utilizar para identificar un cliente o un servidor de forma segura, así como para encriptar la comunicación entre ellos mediante el par de claves pública y privada. Un certificado contiene una clave pública, información sobre el cliente (o servidor) y está firmado (verificado) mediante un CA.
En caso de que iOS, iPadOS, macOS o visionOS no puedan certificar la cadena de confianza de la CA firmante, el servicio indicará que se ha detectado un error. Los certificados autofirmados no pueden verificarse sin la interacción del usuario. Para obtener más información, consulta el artículo de soporte de Apple Lista de certificados raíz de confianza disponibles en iOS 17, iPadOS 17, macOS 14, tvOS 17 y watchOS 10.
Si la seguridad de los certificados raíz preinstalados se ve amenazada, los dispositivos iPhone, iPad y Mac pueden actualizar los certificados inalámbricamente (o a través de Ethernet, si se trata de ordenadores Mac). Puedes desactivar esta función con la restricción de gestión de dispositivos móviles (MDM) "Permitir actualizaciones automáticas de ajustes de confianza de certificados" que impide la actualización de los certificados, ya sea vía inalámbrica o por cable.
Tipos de identidad compatibles
El certificado y su clave privada asociada se denominan identidad. Los certificados pueden distribuirse libremente, pero las identidades deben mantenerse protegidas. El certificado de distribución libre y, especialmente, su parte de clave pública se utilizan para la encriptación que solo se puede desencriptar mediante la clave privada correspondiente. La parte de clave privada de una identidad se almacena en un certificado de identidad PKCS #12 y un archivo (.p12), y se encripta mediante otra clave que está protegida con una contraseña. La identidad se puede utilizar para realizar autenticaciones (como 802.1X EAP-TLS), firmas o encriptaciones (como S/MIME).
Los dispositivos Apple admiten los siguientes formatos de certificados e identidades:
Certificado: .cer, .crt, .der, certificados X.509 con claves RSA
Identidad: .pfx, .p12
Certificados de confianza
Si se ha emitido un certificado de una autoridad de certificación (CA) cuya raíz no está en la lista de certificados raíz de confianza, iOS, iPadOS, macOS o visionOS no confiarán en el certificado. Este suele ser el caso de las CA emisoras de empresa. Para establecer la confianza, utiliza el método que se describe en la sección Implementación de certificados. De este modo, se establece el ancla de confianza en el certificado que se esté implementando. Para infraestructuras de clave pública de varios niveles, es posible que sea necesario establecer la confianza no solo con el certificado raíz, sino también con cualquier intermediario de la cadena. Muchas veces, la confianza de empresa se configura en un único perfil de configuración que puede actualizarse con una solución MDM, en función de las necesidades, sin que esto afecte a otros servicios del dispositivo.
Certificados raíz en iPhone, iPad y Apple Vision Pro
Los certificados raíz instalados manualmente en un iPhone, iPad o Apple Vision Pro supervisado mediante un perfil muestran la advertencia siguiente: “La instalación del certificado ‘nombre del certificado’ lo añadirá a la lista de certificados de confianza del iPhone o iPad. No se confiará en los sitios web con este certificado hasta que lo actives desde los ajustes de confianza de los certificados”.
El usuario puede entonces confiar en el certificado del dispositivo en Ajustes > General > Información > Ajustes de confianza de los certif.
Nota: Si una solución MDM instala los certificados raíz o estos se instalan en dispositivos supervisados, se desactiva la posibilidad de cambiar los ajustes de confianza.
Certificados raíz en el Mac
En el caso de los certificados instalados manualmente mediante un perfil de configuración, se debe realizar una acción adicional para completar la instalación. Una vez añadido el perfil, el usuario puede acceder a Ajustes > General > Perfiles y seleccionar el perfil en Descargado.
A continuación, el usuario puede repasar los detalles, cancelar o hacer clic en Instalar para continuar con la instalación. Es posible que el usuario tenga que proporcionar un nombre de usuario y contraseña de administrador.
Nota: Por omisión, en macOS 13 o posterior, los certificados raíz instalados manualmente con un perfil de configuración no se marcan como de confianza para TLS. Si es necesario, se puede usar la app Acceso a Llaveros para activar la confianza para TLS. Si una solución MDM instala los certificados raíz o estos se instalan en dispositivos supervisados, se desactiva la posibilidad de cambiar los ajustes de confianza y se consideran de confianza para su uso con TLS.
Certificados intermedios en el Mac
El certificado raíz de las autoridades de certificación emiten y firman los certificados intermedios, que pueden gestionarse en un Mac con la app Acceso a Llaveros. Estos certificados intermedios caducan antes que la mayoría de los certificados raíz y las organizaciones los utilizan para que los navegadores web confíen en los sitios web asociados con un certificado intermedio. Los usuarios pueden localizar los certificados intermedios caducados mirando el llavero del sistema en Acceso a Llaveros.
Certificados S/MIME en el Mac
Si un usuario elimina algún certificado S/MIME de su llavero, no podrá seguir leyendo ningún correo electrónico anterior encriptado con esos certificados.