macOS High Sierra

Zasady określania wiarygodności certyfikatów

Certyfikaty są powszechnie stosowane do zabezpieczania danych elektronicznych. Na przykład, certyfikat może pozwalać na podpisywanie wiadomości email, szyfrowanie dokumentów lub nawiązywanie połączeń z zabezpieczoną siecią. Każde z tych zastosowań ograniczone jest zasadami zaufania, określającymi czy certyfikat jest zdatny do użytku w danym przypadku. Dany certyfikat może być odpowiedni do niektórych zastosowań, do innych zaś nie.

macOS posiada wiele wbudowanych zasad zaufania, według których określa, czy dany certyfikat jest godny zaufania. Możesz wybrać inne zasady dla każdego certyfikatu, uzyskując w ten sposób większą kontrolę nad sposobem sprawdzania certyfikatów.

Otwórz Dostęp do pęku kluczy

ZASADA ZAUFANIA

OPIS

Użyj domyślnych ustawień systemowych (lub brak wyboru)

Użyte zostaną domyślne ustawienia dla danego certyfikatu.

Zawsze ufaj

Ufasz autorowi i chcesz zawsze dopuszczać dostęp do danego serwera lub danej aplikacji.

Nigdy nie ufaj

Nie ufasz autorowi i nie chcesz dopuszczać dostępu do danego serwera lub danej aplikacji.

SSL (Secure Sockets Layer)

Połączenie zostanie nawiązane tylko wtedy, gdy nazwa znajdująca się w certyfikacie będzie zgodna z nazwą DNS serwera. Sprawdzanie nazwy serwera nie jest dokonywane w przypadku certyfikatów klienckich SSL. Jeśli istnieje dodatkowe pole użycia klucza, musi ono mieć odpowiednią zawartość.

Bezpieczna poczta (S/MIME)

Standard S/MIME używany jest do bezpiecznego podpisywania i szyfrowania wiadomości email. Adres email użytkownika musi być obecny w certyfikacie, wraz z określonymi polami użycia klucza.

Rozszerzone uwierzytelnienie (EAP)

Gdy łączysz się z siecią wymagającą uwierzytelnienia 802.1X, nazwa w certyfikacie serwera musi być zgodna z nazwą DNS serwera. Nazwy hosta w certyfikatach klienta nie są sprawdzane. Jeśli istnieje dodatkowe pole użycia klucza, musi ono mieć odpowiednią zawartość.

Ochrona IP (IPSec)

Jeśli certyfikat używany jest do zabezpieczenia przesyłania danych za pośrednictwem protokołu IP (np. przy połączeniu VPN), nazwa serwera w certyfikacie musi odpowiadać jego nazwie DNS. Nazwy hosta w certyfikatach klienta nie są sprawdzane. Jeśli istnieje dodatkowe pole użycia klucza, musi ono mieć odpowiednią zawartość.

Podpisywanie kodu

Ustawienia użycia klucza certyfikatu muszą osobno zezwalać na użycie go do podpisywania kodu.

Znakowanie czasem

Ta zasada określa, czy dany certyfikat może być wykorzystany do tworzenia zaufanego znacznika czasu, potwierdzającego czas użycia podpisu cyfrowego.

Zasady podstawowe X.509

Ta zasada określa ważność certyfikatu zgodnie z podstawowymi wymaganiami, takimi jak wydanie przez zaufany urząd certyfikacji, ale bez brania pod uwagę zastosowania oraz dozwolonego użycia klucza.