Inleiding tot certificaatbeheer voor Apple apparaten
Apple apparaten bieden ondersteuning voor digitale certificaten en identiteiten, zodat je organisatie op een gestroomlijnde manier toegang heeft tot de bedrijfsvoorzieningen. Deze certificaten kunnen op verschillende manieren worden gebruikt. Safari kan bijvoorbeeld de geldigheid van een digitaal X.509-certificaat controleren en via AES-encryptie (tot 256 bits) een veilige sessie starten. Er wordt geverifieerd of de identiteit van de website geldig is en of de communicatie met de website wordt versleuteld, zodat persoonlijke of vertrouwelijke gegevens niet door derden kunnen worden onderschept. Certificaten kunnen ook worden gebruikt om de identiteit van de auteur of 'ondertekenaar' te garanderen. Bovendien kun je met behulp van digitale certificaten e‑mail, configuratieprofielen en de netwerkcommunicatie versleutelen.
Certificaten gebruiken met Apple apparaten
Apple apparaten worden geleverd met een aantal vooraf geïnstalleerde rootcertificaten van verschillende certificaatautoriteiten. iOS, iPadOS, macOS en visionOS gaan na of deze rootcertificaten worden vertrouwd. Deze digitale certificaten kunnen worden gebruikt om een client of server te identificeren en om de communicatie hiertussen te versleutelen met behulp van de publieke en private sleutel. Een certificaat bevat een publieke sleutel en informatie over de client (of server), en wordt ondertekend (geverifieerd) door een certificaatautoriteit.
Als iOS, iPadOS, macOS of visionOS de vertrouwensketen van de ondertekenende certificaatautoriteit niet kan valideren, doet zich een fout voor. Een zelfondertekend certificaat kan alleen met tussenkomst van de gebruiker worden geverifieerd. Zie het Apple Support-artikel Lijst van beschikbare vertrouwde rootcertificaten in iOS 17, iPadOS 17, macOS 14, tvOS 17 en watchOS 10 voor meer informatie.
iPhones, iPads en Macs kunnen certificaten draadloos (of via ethernet op Macs) bijwerken als de veiligheid van een van de vooraf geïnstalleerde rootcertificaten in het geding is. Je kunt deze functie uitschakelen met de MDM-optie 'Sta automatisch bijwerken vertrouwensinstellingen certificaten toe'. Als je die optie uitschakelt, kunnen certificaten niet via een draadloos of bedraad netwerk worden bijgewerkt.
Ondersteunde identiteitstypen
Een certificaat en de bijbehorende private sleutel vormen samen een identiteit. Certificaten kunnen vrijelijk worden verspreid, maar identiteiten moeten beveiligd blijven. Het vrijelijk verspreide certificaat, en dan met name de publieke sleutel daarvan, wordt gebruikt voor encryptie die alleen kan worden ontsleuteld met behulp van de bijbehorende private sleutel. De private sleutel van een identiteit wordt als PKCS #12-identiteitscertificaat bewaard in een .p12-bestand en wordt versleuteld met een andere sleutel die met een wachtzin is beveiligd. Een identiteit kan worden gebruikt voor authenticatie (zoals 802.1X EAP-TLS), ondertekening of encryptie (zoals S/MIME).
Apple apparaten ondersteunen de volgende structuren voor certificaten en identiteiten:
Certificaat: .cer-, .crt-, .der- en X.509-certificaten met RSA-sleutels
Identiteit: .pfx, .p12
Vertrouwde certificaten
Als een certificaat is uitgegeven door een certificaatautoriteit waarvan het rootcertificaat niet in de lijst met vertrouwde rootcertificaten staat, wordt het certificaat niet door iOS, iPadOS, macOS of visionOS vertrouwd. Dit is vaak het geval met zogeheten 'Enterprise Issuing'-certificaatautoriteiten. Om een vertrouwensketen tot stand te brengen, gebruik je de methode die wordt beschreven in Certificaten implementeren. Hierdoor wordt het ankerpunt van de vertrouwensketen ingesteld op het certificaat dat wordt geïmplementeerd. In het geval van meerlaagse infrastructuren voor publieke sleutels kan het nodig zijn om niet alleen een vertrouwensketen met het rootcertificaat tot stand brengen te brengen, maar ook met eventuele tussenliggende certificaten in de keten. Een vertrouwensketen binnen een bedrijf wordt vaak ingesteld via één configuratieprofiel, dat waar nodig met de MDM-oplossing kan worden bijgewerkt zonder dat dit gevolgen heeft voor andere voorzieningen op het apparaat.
Rootcertificaten op de iPhone, iPad en Apple Vision Pro
De volgende waarschuwing wordt weergegeven bij rootcertificaten die handmatig via een profiel zijn geïnstalleerd op een iPhone, iPad of Apple Vision Pro die niet onder toezicht staat: "Wanneer je het certificaat 'naam van certificaat' installeert, wordt het toegevoegd aan de lijst met vertrouwde certificaten op je iPhone of iPad. Dit certificaat wordt pas vertrouwd voor websites nadat je het inschakelt in de vertrouwensinstellingen voor certificaten."
De gebruiker kan het certificaat vervolgens op het apparaat als vertrouwd instellen door in Instellingen naar 'Algemeen' > 'Info' > 'Vertrouwen van certificaten' te gaan.
Opmerking: Voor rootcertificaten die door een MDM-oplossing zijn geïnstalleerd of op apparaten die onder toezicht staan, kunnen de vertrouwensinstellingen niet worden gewijzigd.
Rootcertificaten op de Mac
Certificaten die handmatig via een configuratieprofiel worden geïnstalleerd, vereisen een extra stap om de installatie van de certificaten te voltooien. Nadat het profiel is toegevoegd, kan de gebruiker in Instellingen naar 'Algemeen' > 'Profielen' navigeren en het profiel onder 'Gedownload' selecteren.
De gebruiker kan vervolgens de details van het profiel bekijken, de bewerking annuleren of verdergaan door op 'Installeer' te klikken. Het is mogelijk dat de gebruiker de gebruikersnaam en het wachtwoord van een lokale beheerder moet opgeven.
Opmerking: Als in macOS 13 of nieuwer rootcertificaten handmatig worden geïnstalleerd met behulp van een configuratieprofiel, worden ze standaard niet als vertrouwd gemarkeerd voor TLS. Indien nodig kan de app Sleutelhangertoegang worden gebruikt om de TLS-vertrouwensrelatie in te schakelen. Bij rootcertificaten die door een MDM-oplossing zijn geïnstalleerd of op apparaten die onder toezicht staan, wordt de optie voor het wijzigen van de vertrouwensinstellingen uitgeschakeld en worden de certificaten vertrouwd voor gebruik met TLS.
Intermediaire certificaten op de Mac
Intermediaire certificaten worden uitgegeven en ondertekend door het rootcertificaat van de certificaatautoriteit en ze kunnen op een Mac worden beheerd met de app Sleutelhangertoegang. Deze intermediaire certificaten verlopen sneller dan de meeste rootcertificaten en worden door organisaties gebruikt om ervoor te zorgen dat websites waaraan een intermediair certificaat is gekoppeld door webbrowsers worden vertrouwd. Gebruikers kunnen verlopen intermediaire certificaten opzoeken in de sleutelhanger 'Systeem' in Sleutelhangertoegang.
S/MIME-certificaten op de Mac
Als een gebruiker S/MIME-certificaten uit de sleutelhanger verwijdert, kunnen ze e‑mail die met die certificaten is versleuteld niet meer lezen.