Introduzione alla gestione dei certificati per i dispositivi Apple
I dispositivi Apple supportano i certificati e le identità digitali e offrono così alla tua organizzazione un accesso semplice e sicuro ai servizi aziendali. I certificati si possono utilizzare in vari modi. Ad esempio, il browser Safari è in grado di verificare la validità del certificato digitale X.509 e di stabilire una sessione sicura con crittografia AES fino a 256 bit. Ciò verifica che l’identità del sito sia legittima e che la comunicazione sia protetta, per impedire l’intercettazione di dati riservati o personali. I certificati possono anche essere utilizzati per autenticare l’identità dell’autore o del “firmatario” e per crittografare la posta, i profili di configurazione e le comunicazioni di rete.
Utilizzare i certificati con i dispositivi Apple
I dispositivi Apple includono una serie di certificati root preinstallati di varie autorità di certificazione, la cui affidabilità viene convalidata da iOS, iPadOS, macOS e visionOS. Questi certificati digitali possono essere utilizzati per identificare in modo sicuro un client o un server e per crittografare le comunicazioni tra client e server utilizzando una coppia di chiavi private e pubbliche. Un certificato contiene una chiave pubblica e le informazioni sul client (o sul server) ed è firmato (verificato) da un’autorità di certificazione.
Se OS, iPadOS, macOS o visionOS non riesce a convalidare la catena di trust dell’autorità di certificazione firmataria, il servizio restituirà un errore. Un certificato autofirmato non può essere verificato senza l’interazione dell’utente. Per ulteriori informazioni, consulta l’articolo del supporto Apple Elenco dei certificati root disponibili in iOS 18, iPadOS 18, macOS 15, tvOS 18, visionOS 2 e watchOS 11.
Se un certificato root preinstallato viene compromesso, iPhone, iPad, Mac e Apple Vision Pro possono aggiornarlo in modalità wireless (e via Ethernet sui Mac). Puoi disabilitare questa funzione utilizzando la restrizione della gestione dei dispositivi “Consenti aggiornamenti automatici delle impostazioni di attendibilità dei certificati” che impedisce l’aggiornamento dei certificati in modalità wireless o cablata.
Tipi di identità supportati
Un certificato e la relativa chiave privata associata sono anche definiti identità. I certificati possono essere distribuiti liberamente, ma le identità devono essere mantenute sicure. Il certificato distribuito liberamente, e specialmente la sua chiave pubblica, vengono utilizzati per la crittografia che può essere decrittografata solo dalla chiave privata corrispondente. La chiave privata di un’identità viene archiviata in un file di certificato di identità PKCS #12 (.p12) e viene codificata con un’altra chiave protetta da una frase chiave. Un’identità può essere utilizzata per l’autenticazione (ad esempio 802.1X EAP-TLS), la firma o la crittografia (ad esempio S/MIME).
I formati per certificati e identità supportati dai dispositivi Apple sono:
Certificato: Certificati .cer, .crt, .der, X.509 con chiavi RSA
Identità: .pfx, .p12
Attendibilità dei certificati
Se un certificato è stato emesso da un’autorità il cui root non si trova nell’elenco dei certificati root attendibili, il certificato non verrà considerato attendibile su iOS, iPadOS, macOS o visionOS. Questo accade spesso quando le autorità di certificazione sono aziende. Per stabilire l’attendibilità, utilizza il metodo descritto nella sezione Distribuzione dei certificati. In questo modo il certificato distribuito è impostato come quello principale. Per infrastrutture a chiave pubblica a livelli multipli, potrebbe essere necessario stabilire l’attendibilità non solo con il certificato root, ma anche con qualsiasi elemento intermedio nella catena. È consigliabile configurare l’attendibilità delle aziende in un singolo profilo di configurazione che può essere aggiornato tramite il servizio di gestione dei dispositivi quando necessario, senza influire sugli altri servizi presenti sul dispositivo.
Certificati root su iPhone, iPad e Apple Vision Pro
I certificati root installati manualmente su iPhone, iPad o Apple Vision Pro non supervisionati utilizzando un profilo visualizzeranno il seguente messaggio di avviso: “Installando il certificato, il file ’nome del certificato’ verrà aggiunto all’elenco dei certificati attendibili su iPhone o su iPad”. Il certificato, tuttavia, non verrà autorizzato per i siti web fino a quando non lo abiliti in “Attendibilità certificati”.
L’utente può quindi autorizzare il certificato come attendibile sul dispositivo andando su Impostazioni > Generali > Info > Attendibilità certificati.
Nota: i certificati root installati su dispositivi supervisionati o da un servizio di gestione dei dispositivi disabilitano l’opzione che consente di modificare le impostazioni di attendibilità.
Certificati root sul Mac
Per completare l’installazione dei certificati installati manualmente tramite un profilo di configurazione è necessario eseguire un’ulteriore passaggio. Dopo aver aggiunto il profilo, l’utente può andare in Impostazioni > Generali > Profili e selezionare il profilo in Scaricati.
L’utente può rivedere le informazioni, annullare o procedere facendo click su Installa. Potrebbe essere necessario inserire un nome utente e una password dell’amministratore locale.
Nota: su un Mac con macOS 13 o versioni successive, di default, macOS non contrassegna come attendibili per TLS i certificati root installati manualmente tramite un profilo di configurazione. Se necessario, puoi utilizzare l’app Accesso Portachiavi per abilitare l’attendibilità TLS. I certificati root installati su dispositivi supervisionati o da un servizio di gestione dei dispositivi disabilitano l’opzione che consente di modificare le impostazioni di attendibilità e sono considerati attendibili da macOS per essere utilizzati con TLS.
Certificati intermedi sul Mac
I certificati intermedi vengono emessi e firmati dal certificato root dell’autorità di certificazione e possono essere gestiti sul Mac tramite l’app Accesso Portachiavi. Questi certificati intermedi hanno una data di scadenza più breve rispetto alla maggior parte dei certificati root e sono usati dalle organizzazioni per consentire ai browser web di ritenere affidabili i siti web associati a un certificato intermedio. Gli utenti possono individuare i certificati intermedi scaduti visualizzando il portachiavi Sistema in Accesso Portachiavi.
Certificati S/MIME sul Mac
Se un utente elimina dei certificati S/MIME dal proprio portachiavi, non potrà più leggere le email precedenti che erano state crittografate utilizzando tali certificati.