Introduktion til administration af certifikater til Apple-enheder
Apple-enheder understøtter digitale certifikater og identiteter. Det giver din organisation strømlinet adgang til virksomhedstjenester. Disse certifikater kan bruges på flere måder. For eksempel kan Safari kontrollere gyldigheden af et digitalt X.509-certifikat og etablere en sikker session med op til 256-bit AES-kryptering. Det indebærer bekræftelse af, at sidens identitet er ægte, og at kommunikationen med webstedet er beskyttet, for at hjælpe med at forhindre, at personlige eller fortrolige data opsnappes. Certifikater kan også bruges til at garantere identiteten på ophavsmanden eller “underskriveren” og til at kryptere e-mail, konfigurationsprofiler og netværkskommunikation.
Brug af certifikater med Apple-enheder
Apple-enheder indeholder et antal forudinstallerede rodcertifikater fra forskellige certifikatmyndigheder (CA), og iOS, iPadOS, macOS og visionOS bekræfter godkendelsen af disse rodcertifikater. Disse digitale certifikater kan bruges til at identificere en klient eller server på en sikker måde og til at kryptere kommunikationen mellem dem ved hjælp af parret med en offentlig nøgle og en privat nøgle. Et certifikat indeholder en offentlig nøgle og oplysninger om klienten eller serveren, og det er signeret (godkendt) af en certifikatmyndighed.
Hvis iOS, iPadOS, macOS eller visionOS ikke kan bekræfte godkendelseskæden fra CA-underskriveren, opstår der en fejl for tjenesten. Et selvsigneret certifikat kan ikke godkendes uden brugerens medvirken. Du kan få flere oplysninger i Apple-supportartiklen Liste over tilgængelige godkendte rodcertifikater i iOS 17, iPadOS 17, macOS 14, tvOS 17 og watchOS 10.
iPhone-, iPad- og Mac-enheder kan opdatere certifikater trådløst (Mac-computere også via Ethernet), hvis et eller flere af de præinstallerede rodcertifikater bliver kompromitteret. Du kan slå dette fra ved at bruge begrænsningen i administration af mobile enheder (MDM) "Tillad automatiske opdateringer af indstillinger til certifikatgodkendelser" som forhindrer opdatering af certifikater over trådløse eller kabelførte netværk.
Understøttede identitetstyper
Et certifikat og dets tilknyttede private nøgle kaldes en identitet. Certifikater kan frit distribueres, men identiteter skal holdes hemmelige. Det frit distribuerede certifikat og især dets offentlige nøgle bruges til kryptering af data, som kun kan dekrypteres med den tilsvarende private nøgle. Certifikatets del med den private nøgle til en identitet opbevares som et PKCS #12-identitetscertifikatarkiv (.p12) og krypteres med en anden nøgle, der beskyttes med en kode. En identitet kan bruges til godkendelse (f.eks. 802.1X EAP-TLS), signering eller kryptering (f.eks. S/MIME).
Apple-enheder understøtter følgende formater på certifikater og identiteter:
Certifikat: .cer, .crt, .der, X.509-certifikater med RSA-nøgler
Identitet: .pfx, .p12
Certifikatgodkendelse
Hvis et certifikat er blevet udstedt af en certifikatmyndighed (CA), hvis rod ikke findes på listen med godkendte rodcertifikater, godkender iOS, iPadOS, macOS eller visionOS ikke certifikatet. Det er ofte tilfældet med virksomheds-CA'er. Brug de metoder, der er beskrevet i afsnittet Implementering af certifikater, til at etablere godkendelse. Det indstiller godkendelsesankret ved det certifikat, der implementeres. Ved infrastrukturer til offentlig nøgle i flere niveauer kan det være nødvendigt at etablere godkendelse af mellemliggende certifikater i kæden ud over rodcertifikatet. Virksomhedsgodkendelse konfigureres ofte i en enkelt konfigurationsprofil, der kan opdateres med MDM-løsningen efter behov uden at påvirke andre tjenester på enheden.
Rodcertifikater på iPhone, iPad og Apple Vision Pro
Følgende advarsel vises, hvis rodcertifikater installeres manuelt ved hjælp af en profil på en iPhone, iPad eller Apple Vision Pro, som ikke er under tilsyn: “Når certifikatet “navn på certifikat” installeres, føjes det til listen over godkendte certifikater på din iPhone eller iPad. Certifikatet godkendes ikke til websteder, før du slår det til i certifikatets godkendelsesindstillinger.”
Brugeren kan derefter godkende certifikatet på enheden ved at gå til Indstillinger > Generelt > Om > Indst. til certifikatgodkendelse.
Bemærk: Rodcertifikater, der installeres af en MDM-løsning eller på enheder under tilsyn, slår muligheden for at ændre godkendelsesindstillingerne fra.
Rodcertifikater på Mac
Certifikater, der installeres manuelt via en konfigurationsprofil, skal have en ekstra handling udført for at færdiggøre installationen. Når profilen er tilføjet, kan brugeren navigere til Indstillinger > Generelt > Profiler og vælge profilen under Hentet.
Brugeren kan derefter gennemgå detaljerne, annullere eller fortsætte ved at klikke på Installer. Brugeren skal muligvis angive brugernavn og adgangskode for lokal administrator.
Bemærk: I macOS 13 og nyere versioner markeres rodcertifikater, der er installeret manuelt med en konfigurationsprofil, ikke som godkendt af TLS som standard. Keychain Access-appen kan om nødvendigt bruges til at slå TLS-tillid til. Rodcertifikater, der installeres af en MDM-løsning eller på enheder under tilsyn, slår muligheden for at ændre godkendelsesindstillingerne fra og er godkendt til brug med TLS.
Midlertidige certifikater på Mac
Midlertidige certifikater udstedes og signeres af certifikatmyndighedens rodcertifikat og kan administreres på Mac med appen Hovednøglering. Disse midlertidige certifikater har en kortere udløbsdato end de fleste rodcertifikater og anvendes af organisationer, så webbrowsere godkender websteder, som er forbundet til et midlertidigt certifikat. Brugere kan finde udløbne midlertidige certifikater ved at se systemets nøglering i Hovednøglering.
S/MIME-certifikater på Mac
Hvis en bruger sletter S/MIME-certifikater fra sin nøglering, kan vedkommende ikke længere læse e-mail , som blev krypteret med disse certifikater.