Introdução à gestão de certificados para dispositivos Apple
Os dispositivos Apple suportam certificados e identidades digitais, fornecendo à sua organização um acesso simplificado aos serviços empresariais. Estes certificados podem ser utilizados de várias maneiras. Por exemplo, o navegador Safari pode verificar a validade de um certificado digital X.509 e estabelecer uma sessão segura com uma cifragem AES de até 256 bits. Isto envolve a verificação de que a identidade do site é legítima e que a comunicação com o site está protegida para ajudar a prevenir a interceção de dados pessoais ou confidenciais. Os certificados também podem ser utilizados para garantir a identidade do autor ou “signatário” e cifrar o correio eletrónico, perfis de configuração e comunicações da rede.
Usar certificados com dispositivos Apple
Os dispositivos Apple incluem vários certificados de raiz pré-instalados de várias autoridades de certificação (CA), e o iOS, o iPadOS, o macOS e o visionOS validam a confiança para estes certificados de raiz. Estes certificados digitais podem ser utilizados para identificar em segurança um cliente ou servidor e cifrar a comunicação entre eles utilizando o par de chave pública e privada. Um certificado contém uma chave pública, informação acerca do cliente (ou servidor) e esta assinado (verificado) por uma CA.
O serviço encontra um erro, se o iOS, iPadOS, macOS ou visionOS não conseguir validar a cadeia de confiança da CA signatária. Não é possível verificar um certificado auto-assinado sem interação do utilizador. Encontrará mais informação no artigo do Suporte Apple Lista de certificados de raiz disponíveis no iOS 18, iPadOS 18, macOS 15, tvOS 18, visionOS 2 e watchOS 11.
Os dispositivos iPhone, iPad, Mac e Apple Vision Pro podem atualizar os certificados sem fios (e para o Mac, através de Ethernet) se qualquer um dos certificados de raiz pré‑instalados ficar comprometido. Pode desativar esta funcionalidade usando a restrição de gestão de dispositivos “Allow automatic updates to certificate trust settings”, que impede as atualizações de certificados através de redes com ou sem fios.
Tipos de identidade suportados
Um certificado e a sua chave privada associada são designados como identidade. Os certificados podem ser distribuídos livremente, mas as identidades devem ser mantidas em segurança. O certificado distribuído livremente e a respetiva chave pública em particular são utilizados para cifragem que só pode ser decifrada pela chave privada correspondente. A parte da chave privada de uma identidade é armazenada como um ficheiro de certificado de identidade PKCS #12 (.p12) e cifrada com outra chave que é protegida por uma fase de acesso. Uma identidade pode ser utilizada para autenticação (como 802.1X EAP-TLS), assinatura ou cifragem (como S/MIME).
Os formatos de certificado e identidade suportados por dispositivos Apple são:
Certificado: certificados .cer, .crt, .der, X.509 com chaves RSA;
Identidade: .pfx, .p12.
Confiança de certificados
Se uma CA emitir um certificado e a sua raiz não estiver na lista de certificados de raiz fidedignos, o iOS, o iPadOS, o macOS ou o visionOS não confia no certificado. Isto é frequentemente o caso com CAs emissoras de empresas. Para estabelecer a confiança, use o método descrito na implementação de certificado. Isto define a âncora de confiança no certificado que está a ser implementado. No caso de infraestruturas com chave pública e múltiplas camadas, pode ser necessário estabelecer a confiança não só apenas em relação ao certificado de raiz mas também com quaisquer intermediários na cadeia. Recomenda-se que configure a confiança de empresa num único perfil de configuração que pode ser atualizado com o seu serviço de gestão de dispositivos conforme necessário sem afetar outros serviços no dispositivo.
Certificados de raiz no iPhone, iPad e Apple Vision Pro
Os certificados de raiz instalados manualmente num iPhone, iPad ou Apple Vision Pro não supervisionados através de um perfil apresentam a seguinte advertência: “Se instalar o certificado “nome do certificado”, este é adicionado à lista de certificados de confiança no iPhone ou iPad. Este certificado não será considerado de confiança para sites até ser ativado nas Definições de confiança de certificados.”
Em seguida, o utilizador pode confirmar o certificado no dispositivo acedendo a Definições > Geral > Informações > Definições de confiança de certificados.
Nota: os certificados de raiz em dispositivos supervisionados, ou instalados por um serviço de gestão de dispositivos, desativam a opção que permite alterar as definições de confiança.
Certificados de raiz no Mac
Os certificados instalados manualmente através de um perfil de configuração requerem que seja realizada uma ação adicional para concluir a instalação. Após o perfil ser adicionado, o utilizador pode navegar para Definições > Geral > Perfis e selecionar o perfil em “Descarregado”.
O utilizador pode depois consultar os detalhes, cancelar ou continuar clicando em “Instalar”. É possível que o utilizador necessite de introduzir um nome de utilizador e palavra-passe de administrador.
Nota: para computadores Mac com o macOS 13 ou posterior, por predefinição, o macOS não marca os certificados de raiz instalados manualmente com um perfil de configuração como fidedignos para TLS. Se for necessário, pode usar a aplicaçãoAcesso a Porta-chaves para ativar TLS trust. Os certificados de raiz em dispositivos supervisionados, ou instalados por um serviço de gestão de dispositivos, desativam a opção que permite alterar as definições de confiança e o macOS confia neles para utilização com TLS.
Certificados intermédios no Mac
Os certificados intermédios são emitidos e assinados pelo certificado raiz das autoridades de certificação e podem ser geridos num Mac com a aplicação Acesso a Porta-chaves. Esses certificados intermédios têm uma data de expiração mais curta que a maioria dos certificados raiz e são usados pelas organizações para que os navegadores da web confiem em sites associados a um certificado intermédio. Os utilizadores podem localizar certificados intermédios expirados pela visualização do porta‑chaves do sistema no Acesso a Porta-chaves.
Certificados S/MIME no Mac
Se um utilizador apagar quaisquer certificados S/MIME do porta-chaves, este deixa de poder ler e-mails anteriores que foram cifrados com esses certificados.