Apple डिवाइस के लिए सर्टिफ़िकेट प्रबंधन का परिचय
Apple डिवाइस डिज़िटल सर्टिफ़िकेट और आइडेंटिटी का समर्थन करते हैं, जिससे आपके संगठन को कॉरपोरेट सेवाओं का सुगम ऐक्सेस मिलता है। ये सर्टिफ़िकेट कई तरीकों से उपयोग किए जा सकते हैं। उदाहरण के लिए, Safari ब्राउजर किसी X.509 डिज़िटल सर्टिफ़िकेट की जाँच कर सकता है और 256-bit AES एंक्रिप्शन तक के साथ एक सुरक्षित सेशन स्थापित कर सकता है। इसमें इस बात की पुष्टि शामिल रहती है कि साइट की आइडेंटिटी वैध हो और वेबसाइट के साथ संचार सुरक्षित हो, ताकि निजी या गोपनीय डेटा के हस्तक्षेप को रोका जा सके। सर्टिफ़िकेट का उपयोग ऑथर या "सिंगर” की पहचान की गारंटी के लिए और मेल एंक्रिप्ट करने, कॉन्फ़िगरेशन प्रोफ़ाइल्स और नेटवर्क कम्युनिकेशन के लिए भी किया जा सकता है।
Apple डिवाइस के साथ सर्टिफ़िकेट का उपयोग करना
Apple डिवाइस में प्रीइंस्टॉल किए गए कई रूट सर्टिफ़िकेट होते हैं, जो विभिन्न सर्टिफ़िकेशन अथॉरिटी (CAs) के होते हैं और iOS, iPadOS, macOS और visionOS इन रूट सर्टिफ़िकेट के विश्वास को सत्यापित करते हैं। इन डिजिटल सर्टिफ़िकेट का उपयोग किसी क्लाइंट या सर्वर को सुरक्षित रूप से पहचानने के लिए, और पब्लिक और प्राइवेट-की पेयर की मदद से उनके बीच के कम्युनिकेशन को एंक्रिप्ट करने के लिए किया जा सकता है। सर्टिफ़िकेट में शामिल होते हैं- एक पब्लिक-की, क्लाइंट (या सर्वर) के बारे में जानकारी और यह किसी CA द्वारा हस्ताक्षरित (सत्यापित) होता है।
यदि iOS, iPadOS, macOS या visionOS हस्ताक्षरित CA के विश्वास को सत्यापित नहीं कर सकता है, तो सर्वर को एक एरर मिलता है। स्व-हस्ताक्षरित सर्टिफ़िकेट बग़ैर यूज़र इंटरऐक्शन के सत्यापित नहीं किया जा सकता। अधिक जानकारी के लिए Apple सहायता आलेख iOS 18, iPadOS 18, macOS 15, tvOS 18, visionOS 2 और watchOS 11 में उपलब्ध रूट सर्टिफ़िकेट की सूची देखें।
iPhone, iPad, Mac और Apple Vision Pro डिवाइस वायरलेस तरीक़े (और Mac के लिए ईथरनेट पर) से या यदि पहले से इंस्टॉल किए गए रूट सर्टिफ़िकेट में कुछ ख़राबी आए, तो ईथरनेट पर सर्टिफ़िकेट अपडेट कर सकता है। आप इस फ़ीचर को मोबाइल डिवाइस प्रबंधन (MDM) प्रतिबंध “सर्टिफ़िकेट ट्रस्ट सेटिंग्ज़ को ऑटोमैटिक अपडेट की अनुमति दें” की मदद से निष्क्रिय कर सकते हैं, जो सर्टिफ़िकेट को वायरलेस या वायर्ड नेटवर्क पर अपडेट करने से रोकता है।
समर्थित पहचान प्रकार
सर्टिफ़िकेट और उसका संबद्ध प्राइवेट-की को आइडेंटिटीके रूप में जाना जाता है। सर्टिफ़िकेट को स्वतंत्र रूप से वितरित किया जा सकता है, लेकिन पहचान सुरक्षित रखी जानी चाहिए। मुक्त रूप से वितरित सर्टिफ़िकेट और ख़ासकर इसकी पब्लिक-की का उपयोग एंक्रिप्शन के लिए किया जाता है, जिसे केवल मैचिंग प्राइवेट-की के ज़रिए डीक्रिप्ट किया जा सकता है। किसी आइडेंटिटी का प्राइवेट-की हिस्से को PKCS #12 आइडेंटिटी सर्टिफ़िकेट के रूप में और (.p12) फ़ाइल के रूप में स्टोर किया जाता है जिसे किसी पासफ़्रेज़ द्वारा सुरक्षित अन्य 'की' के साथ एनक्रिप्ट किया जाता है। आइडेंटिटी का उपयोग सत्यापन के लिए (जैसे कि 802.1X EAP-TLS), साइनिंग या एंक्रिप्शन (जैसे कि S/MIME) के लिए किया जा सकता है।
Apple डिवाइस जिन सर्टिफ़िकेट और आइडेंटिटी फ़ॉर्मैट का समर्थन करते हैं, वे हैं:
सर्टिफ़िकेट : .cer, .crt, .der, X.509 सर्टिफ़िकेट जो RSA-की के साथ हों
आइडेंटिटी : .pfx, .p12
सर्टिफ़िकेट ट्रस्ट
यदि सर्टिफ़िकेट को किसी ऐसे CA से जारी किया गया है, जिसका रूट विश्वसनीय रूट सर्टिफ़िकेट की सूची में न हो, तो iOS, iPadOS, macOS या visionOS उस सर्टिफ़िकेट पर विश्वास नहीं करेंगे। ऐसा अक्सर एंटरप्राइज द्वारा जारी किए जाने वाले CAs के मामले में होता है। विश्वास स्थापित करने के लिए, सर्टिफ़िकेट डिप्लॉयमेंट में वर्णित विधि का उपयोग करें। यह तैनात किए जाने वाले सर्टिफ़िकेट पर भरोसे का अंकुश लगाता है। मल्टीलेयर्स पब्लिक-की इंफ़्रास्ट्रक्चर के लिए, न केवल रूट सर्टिफ़िकेट के साथ भरोसा कायम करना जरूरी होता है, बल्कि चेन में मौजूद किसी भी बिचौलिए के साथ भी भरोसा स्थापित करना भी उतना ही आवश्यक होता है। अक्सर, एंटरप्राइज ट्रस्ट एक सिंगल कॉन्फ़िगरेशन प्रोफ़ाइल में कॉन्फ़िगर किया जाता है, जिसे आपके MDM समाधान के साथ अपडेट किया जा सकता है, क्योंकि डिवाइस पर अन्य सेवाओं को प्रभावित करने की जरूरत नहीं होती।
iPhone, iPad और Apple Vision Pro पर रूट सर्टिफ़िकेट
किसी प्रोफ़ाइल के जरिए अनिरीक्षित iPhone, iPad या Apple Vision Pro पर मैनुअल तरीक़े से इंस्टॉल किए रूट सर्टिफ़िकेट निम्नांकित चेतावनी दिखाएगा, “सर्टिफ़िकेट इंस्टॉल करने से “सर्टिफ़िकेट का नाम” इसे आपके iPhone या iPad पर विश्वसनीय सर्टिफ़िकेट की सूची में जोड़ देगा। यह सर्टिफ़िकेट तबतक वेबसाइट के लिए भरोसेमंद नहीं होगा, जबतक कि आप इसे सर्टिफ़िकेट ट्रस्ट सेटिंग्ज़ में सक्रिय न कर दें।
यूज़र तब डिवाइस पर सेटिंग्ज़ > सामान्य > परिचय > सर्टिफ़िकेट ट्रस्ट सेटिंग्ज़ में जाकर सर्टिफ़िकेट पर भरोसा कर सकता है।
नोट : MDM समाधान द्वारा या किसी पर्यवेक्षित उपकरण पर इंस्टॉल किया गया रूट सर्टिफ़िकेट, ट्रस्ट सेटिंग्ज़ को बदलने का विकल्प निष्क्रिय कर देता है।
Mac पर रूट सर्टिफ़िकेट
कॉन्फ़िगरेशन प्रोफ़ाइल के माध्यम से मैन्युअल रूप से इंस्टॉल किए गए सर्टिफ़िकेट में इंस्टॉलेशन को पूरा करने के लिए एक अतिरिक्त ऐक्शन होना चाहिए। प्रोफ़ाइल जोड़ने के बाद, यूज़र सेटिंग्ज़ > सामान्य> प्रोफ़ाइल पर नैविगेट कर सकता है और डाउनलोड के तहत प्रोफ़ाइल को चुन सकता है।
यूज़र तब विवरण की समीक्षा कर सकता है, रद्द कर सकता है या इंस्टॉल पर क्लिक करके आगे बढ़ सकता है। यूज़र को स्थानीय ऐडमिनिस्ट्रेटर का यूज़रनेम और पासवर्ड देने की आवश्यकता हो सकती है।
नोट : macOS 13 या बाद के संस्करण वाले Mac के लिए डिफ़ॉल्ट रूप से कॉन्फ़िगरेशन प्रोफ़ाइल के साथ मैनुअल रूप से इंस्टॉल किए गए रूट सर्टिफ़िकेट को TLS के लिए विश्वसनीय के रूप में चिह्नित नहीं किया जाता है। यदि आवश्यक हो, तो TLS ट्रस्ट को सक्षम करने के लिए किचेन ऐक्सेस ऐप का उपयोग किया जा सकता है। MDM समाधान द्वारा या किसी पर्यवेक्षित डिवाइस पर इंस्टॉल किया गया रूट सर्टिफ़िकेट, ट्रस्ट सेटिंग्ज़ को बदलने का विकल्प निष्क्रिय कर देता है और TLS के साथ इस्तेमाल करने के लिए विश्वसनीय होता है।
Mac पर इंटरमीडिएट सर्टिफ़िकेट
इंटरमीडिएट सर्टिफ़िकेट, सर्टिफ़िकेट प्राधिकारियों के रूट सर्टिफ़िकेट द्वारा जारी और हस्ताक्षरित होते हैं और उन्हें कीचेन ऐक्सेस ऐप का उपयोग करके Mac पर प्रबंधित किया जा सकता है। इन इंटरमीडिएट सर्टिफ़िकेट की समाप्ति तिथि अधिकांश रूट सर्टिफ़िकेट की तुलना में कम होती है और इनका उपयोग संगठनों द्वारा किया जाता है, इसलिए वेब ब्राउज़र इंटरमीडिएट सर्टिफ़िकेट से जुड़ी वेबसाइटों पर भरोसा करते हैं। यूज़र कीचेन ऐक्सेस में सिस्टम कीचेन को देखकर समाप्त हो चुके इंटरमीडिएट सर्टिफ़िकेट का पता लगा सकते हैं।
Mac पर S/MIME सर्टिफ़िकेट
यदि कोई यूज़र अपने कीचेन से कोई S/MIME सर्टिफ़िकेट डिलीट कर देता है, तो वे उन सर्टिफ़िकेट का उपयोग करके एन्क्रिप्ट किए गए पिछले ईमेल को नहीं पढ़ सकते हैं।