Изменение политик доверия для сертификатов на Mac
Сертификаты используются для обеспечения безопасности электронной информации. Например, сертификат может позволить Вам подписывать сообщения электронной почты, шифровать документы или подключаться к безопасной сети. Каждый способ использования регулируется политикой доверия, которая определяет, действителен ли сертификат для данного способа использования. Сертификат может быть действителен в одном случае и недействителен в другом.
В macOS используется ряд политик доверия, позволяющих определить, является ли сертификат доверенным. Для каждого сертификата Вы можете выбрать индивидуальную политику доверия, повысив контроль над процессом проверки сертификатов.
Открыть приложение «Связка ключей»
Политика доверия | Описание |
|---|---|
«Настройки системы» или значение не указано | Использовать для сертификата настройку по умолчанию. |
Всегда доверять | Вы можете доверять автору и всегда предоставлять доступ к серверу или приложению. |
Никогда не доверять | Вы можете не доверять автору и запрещать доступ к серверу или приложению. |
SSL (Secure Sockets Layer) | Для успешного подключения имя в сертификате сервера должно соответствовать имени DNS-хоста. Проверка имени хоста не выполняется для сертификатов клиента SSL. При наличии поля использования расширенного ключа в нем должно быть указано соответствующее значение. |
Безопасная почта (S/MIME) | Электронная почта использует S/MIME для безопасной подписи и шифрования сообщений. В сертификате должен быть указан адрес электронной почты пользователя и должны быть включены поля использования ключей. |
EAP (Extensible Authentication, расширяемая аутентификация) | При подключении к сети, требующей идентификации 802.1X, имя в сертификате сервера должно соответствовать имени DNS-хоста. Имена хостов для сертификатов клиентов не проверяются. При наличии поля использования расширенного ключа в нем должно быть указано соответствующее значение. |
IPsec (IP Security, IP‑безопасность) | Когда сертификаты используются для обеспечения безопасности IP-трафика (например, при установлении подключения VPN), имя в сертификате сервера должно соответствовать имени DNS-хоста. Имена хостов для сертификатов клиентов не проверяются. При наличии поля использования расширенного ключа в нем должно быть указано соответствующее значение. |
Подписывание кода | В сертификате должны содержаться настройки использования ключа, которые однозначно разрешают подписывание кода. |
Присвоение временных меток | Эта политика определяет, может ли сертификат использоваться для создания надежной временной метки, подтверждающей конкретное время установки цифровой подписи. |
Стандартный алгоритм X.509 | Эта политика определяет действительность сертификата относительно базовых требований (например, сертификат должен быть выдан доверенным бюро сертификации), но без учета назначения или допустимых вариантов использования ключей. |