Wprowadzenie do zarządzania certyfikatami na urządzeniach Apple
Urządzenia Apple obsługują certyfikaty i tożsamości cyfrowe, zapewniając bezproblemowy dostęp do usług korporacyjnych. Certyfikaty te mogą być wykorzystywane na różne sposoby. Na przykład, przeglądarka Safari może sprawdzać ważność certyfikatu cyfrowego X.509 i nawiązywać bezpieczne połączenie z szyfrowaniem AES o maksymalnej sile 256 bitów. Obejmuje to weryfikację tożsamości witryny oraz zapewnienie ochrony danych wymienianych z witryną, aby uniknąć przechwycenia osobistych lub poufnych informacji. Certyfikaty mogą być także używane do poświadczania tożsamości autora (podmiotu podpisującego) oraz do szyfrowania poczty, profili konfiguracyjnych i przesyłanych danych.
Używanie certyfikatów na urządzeniach Apple
Urządzenia Apple zawierają pewną liczbę certyfikatów głównych, pochodzących od różnych urzędów certyfikacji (CA). Systemy iOS, iPadOS, macOS i visionOS sprawdzają zaufanie do tych certyfikatów głównych. Te certyfikaty cyfrowe mogą być używane w celu bezpiecznego identyfikowania klienta lub serwera, a także do szyfrowania danych przesyłanych między klientem a serwerem (przy użyciu pary złożonej z klucza publicznego i prywatnego). Certyfikat zawiera klucz publiczny i dane dotyczące klienta (lub serwera) oraz jest podpisany (zweryfikowany) przez urząd certyfikacji.
Jeśli system iOS, iPadOS, macOS lub visionOS nie może potwierdzić łańcucha certyfikacji CA podpisującego, usługa zwraca błąd. Certyfikat samopodpisany nie może zostać zweryfikowany bez udziału użytkownika. Aby uzyskać więcej informacji, zapoznaj się z artykułem Wsparcia Apple Lista zaufanych certyfikatów głównych dostępnych w systemach iOS 17, iPadOS 17, macOS 14, tvOS 17 i watchOS 10.
Urządzenia iPhone, iPad oraz Mac mogą uaktualniać certyfikaty bezprzewodowo (w przypadku Maców również przez Ethernet), jeśli jakikolwiek ze wstępnie zainstalowanych certyfikatów głównych utraci wiarygodność. Funkcję tę można wyłączyć przy użyciu ograniczenia MDM: Allow automatic updates to certificate trust settings (Pozwalaj na automatyczne uaktualnianie ustawień zaufania certyfikatów). Ograniczenie to uniemożliwia uaktualnianie certyfikatów przez sieć przewodową i bezprzewodową.
Obsługiwane typy tożsamości
Certyfikat i powiązany z nim klucz prywatny stanowią tożsamość. Certyfikaty mogą być dowolnie rozpowszechniane, ale tożsamości muszą pozostawać zabezpieczone. Dowolnie rozpowszechniany certyfikat oraz (w szczególności) jego klucz publiczny używane są do szyfrowania danych, które można odszyfrować tylko przy użyciu pasującego klucza prywatnego. Klucz prywatny, stanowiący część tożsamości, przechowywany jest jako certyfikat tożsamości PKCS #12 (w pliku .p12) i jest zaszyfrowany przy użyciu innego klucza, chronionego hasłem. Tożsamość może być używana do uwierzytelniania (na przykład w przypadku protokołu EAP‑TLS i standardu 802.1X), podpisywania lub szyfrowania (na przykład w przypadku protokołu S/MIME).
Oto formaty certyfikatów i tożsamości obsługiwane przez urządzenia Apple:
Certyfikaty: .cer, .crt, .der, X.509 z kluczami RSA
Tożsamości: .pfx, .p12
Wiarygodność certyfikatu
Jeśli dany certyfikat został wydany przez urząd certyfikacji, którego certyfikat główny nie znajduje się na liście zaufanych certyfikatów głównych, system iOS, iPadOS, macOS lub visionOS nie będzie ufać temu certyfikatowi. Sytuacja taka występuje często w przypadku certyfikatów wystawianych przez korporacyjne urzędy certyfikacji. Aby ustalić zaufanie, należy użyć metody opisanej w sekcji wdrażanie certyfikatów. Tworzy to podstawę zaufania dla wdrażanego certyfikatu. W przypadku wielopoziomowych struktur kluczy publicznych konieczne może być ustalenie zaufania nie tylko dla certyfikatu głównego, ale także dla znajdujących się w łańcuchu certyfikatów pośrednich. W środowiskach korporacyjnych wiarygodność certyfikatów jest często konfigurowana przy użyciu osobnego profilu konfiguracyjnego, który może być w razie potrzeby uaktualniany przy użyciu rozwiązania MDM — bez wpływu na inne usługi używane na urządzeniu.
Certyfikaty główne w iPhonie, iPadzie oraz Apple Vision Pro
Certyfikaty główne zainstalowane ręcznie (za pośrednictwem profili) na nienadzorowanym iPhonie, iPadzie lub Apple Vision Pro wyświetlają ostrzeżenie „Gdy zainstalujesz nazwa certyfikatu, zostanie on dodany do listy zaufanych certyfikatów na iPhonie lub iPadzie. Nie będzie on jednak zaufany dla witryn, jeśli nie włączysz tej opcji w ustawieniach zaufania certyfikatu”.
Użytkownik może następnie zaufać certyfikatowi na urządzeniu, przechodząc do Ustawień i stukając w Ogólne > To urządzenie > Ustawienie zaufania certyfikatów.
Uwaga: Certyfikaty główne zainstalowane przez rozwiązanie MDM lub na urządzeniach nadzorowanych wyłączają opcję zmiany ustawień zaufania.
Certyfikaty główne na Macu
W przypadku certyfikatów instalowanych ręcznie za pośrednictwem profilu konfiguracji należy wykonać dodatkowe działanie, aby zakończyć instalację. Po dodaniu profilu użytkownik może przejść do opcji Ustawienia > Ogólne > Profile i wybrać profil w obszarze Pobrane.
Użytkownik może następnie przejrzeć szczegóły, anulować lub kontynuować proces, klikając opcję Zainstaluj. Może zajść potrzeba podania nazwy użytkownika i hasła administratora lokalnego.
Uwaga: W systemie macOS 13 lub nowszym certyfikaty główne instalowane ręcznie z profilem konfiguracji nie są domyślnie oznaczane jako zaufane dla protokołu TLS. W razie potrzeby można użyć aplikacji Keychain Access, aby włączyć zaufanie dla TLS. Certyfikaty główne zainstalowane przez rozwiązanie MDM lub na urządzeniach nadzorowanych wyłączają opcję zmiany ustawień zaufania i są zaufane do użytku z protokołem TLS.
Certyfikaty pośrednie na Macu
Certyfikaty pośrednie są wydawane i podpisywane przy użyciu certyfikatu głównego urzędu certyfikacji. Można nimi zarządzać na Macu przy użyciu aplikacji Dostęp do pęku kluczy. Te certyfikaty pośrednie mają krótszy czas wygaśnięcia niż większość certyfikatów głównych. Są one używane przez organizacje w celu zapewniania zaufania przeglądarek do witryn powiązanych z danym certyfikatem pośrednim. Użytkownicy mogą znaleźć wygasłe certyfikaty pośrednie w pęku kluczy System w aplikacji Dostęp do pęku kluczy.
Certyfikaty S/MIME na Macu
Jeśli użytkownik usunie certyfikaty S/MIME ze swojego pęku kluczy, utraci możliwość odczytywania wcześniejszych wiadomości email zaszyfrowanych przy użyciu tych certyfikatów.