Apple डिवाइस के लिए सर्टिफ़िकेट प्रबंधन का परिचय
Apple डिवाइस डिज़िटल सर्टिफ़िकेट और आइडेंटिटी का समर्थन करते हैं, जिससे आपके संगठन को कॉरपोरेट सेवाओं का सुगम ऐक्सेस मिलता है। ये सर्टिफ़िकेट कई तरीकों से उपयोग किए जा सकते हैं। उदाहरण के लिए, Safari ब्राउजर किसी X.509 डिज़िटल सर्टिफ़िकेट की जाँच कर सकता है और 256-bit AES एंक्रिप्शन तक के साथ एक सुरक्षित सेशन स्थापित कर सकता है। इसमें इस बात की पुष्टि शामिल रहती है कि साइट की आइडेंटिटी वैध हो और वेबसाइट के साथ संचार सुरक्षित हो, ताकि निजी या गोपनीय डेटा के हस्तक्षेप को रोका जा सके। सर्टिफ़िकेट का उपयोग ऑथर या "सिंगर” की पहचान की गारंटी के लिए और मेल एंक्रिप्ट करने, कॉन्फ़िगरेशन प्रोफ़ाइल्स और नेटवर्क कम्युनिकेशन के लिए भी किया जा सकता है।
Apple डिवाइस के साथ सर्टिफ़िकेट का उपयोग करना
Apple डिवाइस में प्रीइंस्टॉल किए गए कई रूट सर्टिफ़िकेट होते हैं, जो विभिन्न सर्टिफ़िकेशन अथॉरिटी (CAs) के होते हैं और iOS, iPadOS और macOS इन रूट सर्टिफ़िकेट के विश्वास को सत्यापित करते हैं। इन डिजिटल सर्टिफ़िकेट का उपयोग किसी क्लाइंट या सर्वर को सुरक्षित रूप से पहचानने के लिए, और पब्लिक और प्राइवेट-की पेयर की मदद से उनके बीच के कम्युनिकेशन को एंक्रिप्ट करने के लिए किया जा सकता है। सर्टिफ़िकेट में शामिल होते हैं- एक पब्लिक-की, क्लाइंट (या सर्वर) के बारे में जानकारी और यह किसी CA द्वारा हस्ताक्षरित (सत्यापित) होता है।
यदि iOS, iPadOS या macOS हस्ताक्षरित CA के विश्वास को सत्यापित नहीं कर सकता है, तो सर्वर को एक एरर मिलता है। स्व-हस्ताक्षरित सर्टिफ़िकेट बग़ैर यूज़र इंटरऐक्शन के सत्यापित नहीं किया जा सकता। अधिक जानकारी के लिए Apple सहायता आलेख iOS 17, iPadOS 17, macOS 14, tvOS 17, and watchOS 10 में उपलब्ध भरोसेमंद रूट सर्टिफ़िकेट की सूची देखें।
iPhone, iPad और Mac डिवाइस वायरलेस तरीक़े (और Mac के लिए, ईथरनेट पर) से या यदि पहले से इंस्टॉल किए गए रूट सर्टिफ़िकेट में कुछ ख़राबी आए, तो ईथरनेट पर सर्टिफ़िकेट अपडेट कर सकता है। आप इस फ़ीचर को मोबाइल डिवाइस प्रबंधन (MDM) प्रतिबंध “सर्टिफ़िकेट ट्रस्ट सेटिंग्ज़ को ऑटोमैटिक अपडेट की अनुमति दें” की मदद से निष्क्रिय कर सकते हैं, जो सर्टिफ़िकेट को वायरलेस या वायर्ड नेटवर्क पर अपडेट करने से रोकता है।
समर्थित पहचान प्रकार
सर्टिफ़िकेट और उसका संबद्ध प्राइवेट-की को आइडेंटिटीके रूप में जाना जाता है। सर्टिफ़िकेट को स्वतंत्र रूप से वितरित किया जा सकता है, लेकिन पहचान सुरक्षित रखी जानी चाहिए। स्वतंत्र रूप से वितरित सर्टिफ़िकेट और विशेष रूप से इसकी सार्वजनिक की एंक्रिप्शन के लिए उपयोग की जाती है जिसे केवल मेल खाने वाली निजी की द्वारा डिक्रिप्ट किया जा सकता है। किसी आइडेंटिटी का प्राइवेट-की हिस्से को PKCS #12 आइडेंटिटी सर्टिफ़िकेट के रूप में और (.p12) फ़ाइल के रूप में स्टोर किया जाता है जिसे किसी पासफ़्रेज़ द्वारा सुरक्षित अन्य 'की' के साथ एनक्रिप्ट किया जाता है। आइडेंटिटी का उपयोग सत्यापन के लिए (जैसे कि 802.1X EAP-TLS), साइनिंग या एंक्रिप्शन (जैसे कि S/MIME) के लिए किया जा सकता है।
Apple डिवाइस जिन सर्टिफ़िकेट और आइडेंटिटी फ़ॉर्मैट का समर्थन करते हैं, वे हैं:
सर्टिफ़िकेट : .cer, .crt, .der, X.509 सर्टिफ़िकेट जो RSA-की के साथ हों
आइडेंटिटी: .pfx, .p12
सर्टिफ़िकेट ट्रस्ट
यदि सर्टिफ़िकेट को किसी ऐसे CA से जारी किया गया है, जिसका रूट विश्वसनीय रूट सर्टिफ़िकेट की सूची में न हो, तो iOS, iPadOS और macOS उस सर्टिफ़िकेट पर विश्वास नहीं करेंगे। ऐसा अक्सर एंटरप्राइज द्वारा जारी किए जाने वाले CAs के मामले में होता है। विश्वास स्थापित करने के लिए, सर्टिफ़िकेट डिप्लॉयमेंट में वर्णित विधि का उपयोग करें। यह तैनात किए जाने वाले सर्टिफ़िकेट पर भरोसे का अंकुश लगाता है। मल्टीलेयर्स पब्लिक-की इंफ़्रास्ट्रक्चर के लिए, न केवल रूट सर्टिफ़िकेट के साथ भरोसा कायम करना जरूरी होता है, बल्कि चेन में मौजूद किसी भी बिचौलिए के साथ भी भरोसा स्थापित करना भी उतना ही आवश्यक होता है। अक्सर, एंटरप्राइज ट्रस्ट एक सिंगल कॉन्फ़िगरेशन प्रोफ़ाइल में कॉन्फ़िगर किया जाता है, जिसे आपके MDM सॉल्यूशन के साथ अपडेट किया जा सकता है, क्योंकि डिवाइस पर अन्य सेवाओं को प्रभावित करने की जरूरत नहीं होती।
iPhone और iPad पर रूट सर्टिफ़िकेट
किसी प्रोफ़ाइल के जरिए अनिरीक्षित iPhone और iPad डिवाइस पर मैनुअल तरीक़े से इंस्टॉल किए रूट सर्टिफ़िकेट निम्नांकित चेतावनी दिखाएगा, “सर्टिफ़िकेट इंस्टॉल करने से “सर्टिफ़िकेट का नाम” इसे आपके iPhone या iPad पर विश्वसनीय सर्टिफ़िकेट की सूची में जोड़ देगा। यह सर्टिफ़िकेट तबतक वेबसाइट के लिए भरोसेमंद नहीं होगा, जबतक कि आप इसे सर्टिफ़िकेट ट्रस्ट सेटिंग्ज़ में सक्रिय न कर दें।
यूज़र तब डिवाइस पर सेटिंग्ज़ > सामान्य > परिचय > सर्टिफ़िकेट ट्रस्ट सेटिंग्ज़ में जाकर सर्टिफ़िकेट पर भरोसा कर सकता है।
नोट : MDM सॉल्यूशन द्वारा या किसी निरीक्षित उपकरण पर इंस्टॉल किया गया रूट सर्टिफ़िकेट, ट्रस्ट सेटिंग्ज़ को बदलने का विकल्प निष्क्रिय कर देता है।
Mac पर रूट सर्टिफ़िकेट
कॉन्फ़िगरेशन प्रोफ़ाइल के माध्यम से मैन्युअल रूप से इंस्टॉल किए गए सर्टिफ़िकेट में इंस्टॉलेशन को पूरा करने के लिए एक अतिरिक्त ऐक्शन होना चाहिए। प्रोफ़ाइल जोड़ने के बाद, यूज़र सेटिंग्ज़ > सामान्य> प्रोफ़ाइल पर नैविगेट कर सकता है और डाउनलोड के तहत प्रोफ़ाइल को चुन सकता है।
यूज़र तब विवरण की समीक्षा कर सकता है, रद्द कर सकता है या इंस्टॉल पर क्लिक करके आगे बढ़ सकता है। यूज़र को स्थानीय ऐडमिनिस्ट्रेटर का यूज़रनेम और पासवर्ड देने की आवश्यकता हो सकती है।
नोट : macOS 13 या बाद के संस्करण में, डिफ़ॉल्ट रूप से कॉन्फ़िगरेशन प्रोफ़ाइल के साथ मैनुअल रूप से इंस्टॉल किए गए रूट सर्टिफ़िकेट को TLS के लिए विश्वसनीय के रूप में चिह्नित नहीं किया जाता है। यदि आवश्यक हो, तो TLS ट्रस्ट को सक्षम करने के लिए किचेन ऐक्सेस ऐप का उपयोग किया जा सकता है। MDM सॉल्यूशन द्वारा या किसी पर्यवेक्षित डिवाइस पर इंस्टॉल किया गया रूट सर्टिफ़िकेट, ट्रस्ट सेटिंग्ज़ को बदलने का विकल्प निष्क्रिय कर देता है और TLS के साथ इस्तेमाल करने के लिए विश्वसनीय होता है।
Mac पर इंटरमीडिएट सर्टिफ़िकेट
इंटरमीडिएट सर्टिफ़िकेट, सर्टिफ़िकेट प्राधिकारियों के रूट सर्टिफ़िकेट द्वारा जारी और हस्ताक्षरित होते हैं और उन्हें कीचेन ऐक्सेस ऐप का उपयोग करके Mac पर प्रबंधित किया जा सकता है। इन इंटरमीडिएट सर्टिफ़िकेट की समाप्ति तिथि अधिकांश रूट सर्टिफ़िकेट की तुलना में कम होती है और इनका उपयोग संगठनों द्वारा किया जाता है, इसलिए वेब ब्राउज़र इंटरमीडिएट सर्टिफ़िकेट से जुड़ी वेबसाइटों पर भरोसा करते हैं। यूज़र कीचेन ऐक्सेस में सिस्टम कीचेन को देखकर समाप्त हो चुके इंटरमीडिएट सर्टिफ़िकेट का पता लगा सकते हैं।
Mac पर S/MIME सर्टिफ़िकेट
यदि कोई यूज़र अपने कीचेन से कोई S/MIME सर्टिफ़िकेट डिलीट कर देता है, तो वे उन सर्टिफ़िकेट का उपयोग करके एन्क्रिप्ट किए गए पिछले ईमेल को नहीं पढ़ सकते हैं।