Az Apple-eszközökön használt tanúsítványfelügyelet bemutatása
Az Apple eszközök támogatják a digitális tanúsítványokat és identitásokat, így az adott szervezet egyszerűen elérheti a vállalati szolgáltatásokat. Ezek a tanúsítványok többféle módon is használhatóak. A Safari böngésző például ellenőrizheti egy X.509 digitális tanúsítvány érvényességét, és létrehozhat egy biztonságos munkamenetet max. 256 bites AES-titkosítással. Ennek során ellenőrzi, hogy az oldal identitása valós-e, illetve a weboldallal folytatott kommunikáció védett-e, amivel megakadályozza, hogy a személyes vagy bizalmas adatok illetéktelen kezekbe kerüljenek. A tanúsítványok ezenkívül a szerző vagy az „aláíró” identitásának garantálására, továbbá a levelek, a konfigurációs profilok és a hálózati kommunikáció titkosítására is használhatók.
Tanúsítványok használata Apple-eszközökkel
Az Apple-eszközökön számos előre telepített, különböző tanúsítványkiadó központoktól származó gyökértanúsítvány található, és az iOS, az iPadOS, a macOS és a visionOS rendszer a gyökértanúsítványok alapján ellenőrzi a megbízhatóságot. Ezek a digitális tanúsítványok arra használhatók, hogy biztonságosan lehessen azonosítani egy klienst vagy egy szervert, illetve titkosítani lehessen a közöttük folytatott kommunikációt egy nyilvános és privát kulcsból álló kulcspár segítségével. A tanúsítvány tartalmaz egy nyilvános kulcsot, a kliensre (vagy szerverre) vonatkozó információkat, és egy tanúsítványkiadó központ írja alá (hitelesíti).
Ha az iOS, az iPadOS, a macOS vagy a visionOS rendszer nem tudja ellenőrizni a megbízhatósági láncot, a szolgáltatással kapcsolatban hiba jelentkezik. Önaláírt tanúsítványt nem lehet ellenőrizni felhasználói beavatkozás nélkül. További információkért tekintse meg a következő Apple-támogatási cikket: Az iOS 18, az iPadOS 18, a macOS 15, a tvOS 18, a visionOS 2 és a watchOS 11 rendszerben rendelkezésre álló megbízható gyökértanúsítványok listája.
Ha valamelyik előre telepített gyökértanúsítvány biztonsága sérül, az iPhone‑ok, iPadek, Macek és Apple Vision Prók vezeték nélküli módon (illetve Macek esetében Etherneten keresztül) frissítik a tanúsítványokat. Ezt a funkciót a mobileszköz-felügyelet (MDM) „Allow automatic updates to certificate trust settings” korlátozásával kapcsolhatja ki amely megakadályozza a tanúsítványok vezeték nélküli vagy vezetékes hálózatokon keresztül történő frissítését.
Támogatott identitástípusok
Az identitás egy tanúsítványból és a hozzá társított privát kulcsból áll. A tanúsítványok szabadon terjeszthetők, de az identitásokat bizalmasan kell kezelni. A szabadon terjesztett tanúsítvány és a hozzá tartozó nyilvános kulcs segítségével lehet titkosítást végezni, és a titkosítás csak a kapcsolódó privát kulccsal oldható fel. Az identitás titkos kulcsa egy PKCS #12 identitástanúsítványként és (.p12) fájlként van tárolva, és egy másik kulcs titkosítja, amelyet egy jelszó véd. Az identitás használható hitelesítésre (pl. 802.1X EAP-TLS), aláírásra és titkosításra (pl. S/MIME).
Az Apple eszközök az alábbi formátumú tanúsítványokat és identitásokat támogatják:
Tanúsítvány: .cer, .crt, .der, X.509 tanúsítványok RSA-kulcsokkal
Identitás: .pfx, .p12
Tanúsítvány megbízhatósága
Ha a tanúsítványt olyan tanúsítványkiadó központ adta ki, amelynek gyökértanúsítványa nem szerepel a megbízható gyökértanúsítványok listáján, akkor az iOS, az iPadOS, a macOS és a visionOS rendszer nem tartja megbízhatónak a tanúsítványt. Ez gyakran előfordul vállalati hitelesítőszolgáltatók esetén. A megfelelő megbízhatóság érdekében a tanúsítványok üzembe helyezése című részben ismertetett módszert alkalmazza. Ez létrehozza a megbízhatósági kapcsolatot a telepített tanúsítványhoz. Többrétegű nyilvános kulccsal működő infrastruktúra esetén előfordulhat, hogy a megbízhatósághoz nem csak a gyökértanúsítványra van szükség, hanem a megbízhatósági lánc köztes elemeire is. Gyakori, hogy a vállalati szintű megbízhatóságot egyetlen konfigurációs profillal konfigurálják, amely a mobileszköz-felügyeleti (MDM) megoldáson keresztül frissíthető, anélkül hogy az hatással lenne az eszköz más szolgáltatásaira.
Gyökértanúsítványok iPhone-on, iPaden és Apple Vision Prón
Azoknál a gyökértanúsítványoknál, amelyek egy profil segítségével lettek manuálisan telepítve nem felügyelt iPhone-okra, iPadekre vagy Apple Vision Prókra, a következő figyelmeztetés jelenik meg: „A(z) „tanúsítvány neve” tanúsítvány telepítésekor az hozzá fog adódni az iPhone-ján vagy iPadjén lévő megbízható tanúsítványok listájához. Ez a tanúsítvány nem lesz megbízhatóként jelölve, amíg nem engedélyezi a Trust-tanúsítványok beállításaiban.”
A felhasználó ezt követően a Beállítások > Általános > Névjegy > Trust-tanúsítványok beállításai menüpontnál jelölheti meg megbízhatóként a tanúsítványt.
Megjegyzés: Az MDM-megoldással telepített vagy az adminisztrált eszközökön lévő gyökértanúsítványok esetében nem lehet módosítani a megbízhatósági beállításokat.
Gyükértanúsítványok Macen
A kézzel, egy konfigurációs profilon keresztül telepített tanúsítványoknak további műveletet kell végrehajtaniuk a telepítés befejezéséhez. A profil hozzáadása után a felhasználó a Beállítások > Általános > Profilok lehetőséget választva kijelölheti a profilt a Letöltött alatt.
A felhasználó ezután megtekintheti a részleteket, törölheti vagy folytathatja a Telepítés gombra kattintva. Előfordulhat, hogy a felhasználónak meg kell adnia egy helyi adminisztrátori felhasználónevet és jelszót.
Megjegyzés: macOS 13 vagy újabb rendszert futtató Macek esetén alapértelmezésként a konfigurációs profillal kézzel telepített gyökértanúsítványok nincsenek megbízhatóként megjelölve a TLS által. Ha szükséges, a Kulcskarika-elérés app használható a TLS-megbízhatóság engedélyezéséhez. Az MDM-megoldással telepített vagy az adminisztrált eszközökön lévő gyökértanúsítványok esetében nem lehet módosítani a megbízhatósági beállításokat, és megbízhatóként vannak beállítva a TLS-használatához.
Közbenső tanúsítványok a Macen
Az közbenső tanúsítványokat a tanúsítványkiadó központ gyökértanúsítványa bocsátja ki és írja alá, és a Macen a Kulcskarika-elérés appal kezelhetők. Ezeknek a tanúsítványoknak más gyökértanúsítványoknál rövidebb az érvényessége, és a szervezetek arra használják, hogy a webböngészők mebízzanak azokban a webhelyekben, amelyek egy közbenső tanúsítványhoz vannak rendelve. A felhasználók a Kulcskarika-elérés Rendszer kulcskarikájának megtekintésével kereshetik meg a lejárt közbenső tanúsítványt.
S/MIME-tanúsítványok Macen
Ha a felhasználó bármilyen S/MIME-tanúsítványt töröl a kulcskarikájáról, többé nem tudja elolvasni a korábbi e-maileket, amelyek ezekkel a tanúsítványokkal voltak titkosítva.