Introdução ao gerenciamento de certificados em dispositivos Apple
Os dispositivos da Apple oferecem suporte a certificados e identidades digitais, fornecendo acesso simplificado a serviços corporativos da organização. Esses certificados podem ser usados de diversas maneiras. Por exemplo, o Safari pode verificar a validade de um certificado digital X.509 e estabelecer uma sessão segura com criptografia AES de 256 bits. Isso envolve a verificação da legitimidade da identidade do site e da proteção da comunicação com o site, visando impedir a interceptação de dados pessoais ou confidenciais. Certificados também podem ser usados para garantir a identidade do autor (ou “assinante”) e para criptografar e-mails, perfis de configuração e comunicações de rede.
Uso de certificados com dispositivos da Apple
Os dispositivos da Apple incluem diversos certificados raiz de várias Autoridades de Certificação (ACs) pré-instalados. O iOS, iPadOS, macOS e visionOS validam a confiança desses certificados raiz. Esses certificados digitais podem ser usados para identificar um cliente ou servidor com segurança e para criptografar as comunicações entre eles, através do par de chaves pública e privada. Um certificado contém uma chave pública, informações sobre o cliente (ou servidor) e é assinado (verificado) por uma AC.
Se o iOS, iPadOS, macOS ou visionOS não puder validar a cadeia de confiança da AC assinante, o serviço encontra um erro. Um certificado autoassinado não pode ser verificado sem a interação do usuário. Para obter mais informações, consulte o artigo de Suporte da Apple Lista de certificados raiz confiáveis disponíveis no iOS 17, iPadOS 17, macOS 14, tvOS 17 e watchOS 10.
Dispositivos iPhone, iPad e Mac podem atualizar certificados via conexão sem fio (e dispositivos Mac, via Ethernet) se algum dos certificados raiz pré‑instalados tiver sido comprometido. Você pode usar a restrição de gerenciamento de dispositivos móveis (MDM) “Allow automatic updates to certificate trust settings” para desativar esse recurso o que impede a atualização de certificados em redes com ou sem fio.
Tipos de identidade compatíveis
O certificado e sua chave privada associada são conhecidos como identidade. Certificados podem ser distribuídos livremente, mas as identidades devem ser mantidas em segurança. O certificado distribuído livremente e, em especial, sua chave pública, são usados para criptografia que só pode ser decriptografada pela chave privada correspondente. A parte de chave privada de uma identidade é armazenada como um arquivo de certificado de identidade PKCS #12 (.p12), sendo criptografada por outra chave que está protegida por uma frase-senha. Uma identidade pode ser usada para autenticação (como no 802.1X EAP-TLS), assinatura ou criptografia (como no S/MIME).
Os formatos de certificado e identidade para os quais os dispositivos da Apple oferecem suporte são:
Certificado: .cer, .crt, .der e certificados X.509 com chaves RSA
Identidade: .pfx, .p12
Confiabilidade de certificado
Caso um certificado tenha sido emitido por uma AC cuja raiz não esteja na lista de certificados raiz confiáveis, o iOS, iPadOS, macOS ou visionOS não confiarão no certificado. Isso ocorre com frequência em ACs de emissão empresarial. Para estabelecer a confiança, use o método descrito em implementação de certificado. Isso define a confiabilidade no certificado sendo implementado. Em infraestruturas de chave pública multicamada, pode ser necessário estabelecer confiança não apenas com o certificado raiz, mas também com os intermediários da cadeia. Muitas vezes, a confiança empresarial é configurada em um único perfil de configuração que pode ser atualizado pela solução MDM conforme for necessário, sem afetar outros serviços do dispositivo.
Certificados raiz no iPhone, iPad e Apple Vision Pro
Certificados raiz instalados manualmente através de um perfil em um iPhone, iPad ou Apple Vision Pro não supervisionado mostram o seguinte aviso: “A instalação do certificado ‘nome do certificado’ o adicionará à lista de certificados confiáveis do seu iPhone ou iPad. Este certificado não será considerado confiável em sites até que você o ative em Certificados Confiáveis.”
O usuário poderá então optar por confiar no certificado em Ajustes > Geral > Sobre > Certificados Confiáveis.
Nota: certificados raiz instalados por uma solução MDM ou em dispositivos supervisionados desativam a opção de alteração do ajuste de confiança.
Certificados raiz no Mac
Os certificados instalados manualmente através de um perfil de configuração precisam da realização de uma ação adicional para concluir a instalação. Depois que o perfil é adicionado, o usuário pode navegar até Ajustes > Geral > Perfis e selecionar o perfil na seção Baixados.
O usuário pode ver os detalhes, cancelar ou clicar em Instalar para prosseguir. O usuário talvez precise informar o nome de usuário e a senha de um administrador local.
Nota: no macOS 13 ou posteriores, os certificados raiz instalados manualmente com um perfil de configuração não são marcados como confiáveis para TLS por padrão. Caso necessário, o app Acesso às Chaves pode ser usado para ativar a confiança para TLS. Os certificados raiz instalados por uma solução MDM ou em dispositivos supervisionados desativam a opção de alteração do ajuste de confiança e são considerados confiáveis para uso com TLS.
Certificados intermediários no Mac
Certificados intermediários são emitidos e assinados pelo certificado raiz de Autoridades de Certificação e podem ser gerenciados no Mac pelo app Acesso às Chaves. Esses certificados intermediários têm uma data de validade menor que a maioria dos certificados raiz e são usados por organizações para que navegadores confiem nos sites associados a um certificado intermediário. Para localizar certificados intermediários vencidos, usuários podem visualizar as chaves do Sistema no app Acesso às Chaves.
Certificados S/MIME no Mac
Se um usuário apagar qualquer certificado S/MIME das chaves, ele não poderá mais ler os e‑mails anteriores que foram criptografados com esses certificados.