Az Apple-eszközökön használt tanúsítványfelügyelet bemutatása
Az Apple eszközök támogatják a digitális tanúsítványokat és identitásokat, így az adott szervezet egyszerűen elérheti a vállalati szolgáltatásokat. Ezek a tanúsítványok többféle módon is használhatóak. A Safari böngésző például ellenőrizheti egy X.509 digitális tanúsítvány érvényességét, és létrehozhat egy biztonságos munkamenetet max. 256 bites AES-titkosítással. Ennek során ellenőrzi, hogy az oldal identitása valós-e, illetve a weboldallal folytatott kommunikáció védett-e, amivel megakadályozza, hogy a személyes vagy bizalmas adatok illetéktelen kezekbe kerüljenek. A tanúsítványok ezenkívül a szerző vagy az „aláíró” identitásának garantálására, továbbá a levelek, a konfigurációs profilok és a hálózati kommunikáció titkosítására is használhatók.
Tanúsítványok használata Apple-eszközökkel
Az Apple-eszközökön számos előre telepített, különböző tanúsítványkiadó központoktól származó gyökértanúsítvány található, és az iOS, az iPadOS, a macOS és a visionOS rendszer a gyökértanúsítványok alapján ellenőrzi a megbízhatóságot. Ezek a digitális tanúsítványok arra használhatók, hogy biztonságosan lehessen azonosítani egy klienst vagy egy szervert, illetve titkosítani lehessen a közöttük folytatott kommunikációt egy nyilvános és privát kulcsból álló kulcspár segítségével. A tanúsítvány tartalmaz egy nyilvános kulcsot, a kliensre (vagy szerverre) vonatkozó információkat, és egy tanúsítványkiadó központ írja alá (hitelesíti).
Ha az iOS, az iPadOS, a macOS vagy a visionOS rendszer nem tudja ellenőrizni a megbízhatósági láncot, a szolgáltatással kapcsolatban hiba jelentkezik. Önaláírt tanúsítványt nem lehet ellenőrizni felhasználói beavatkozás nélkül. További információkért olvassa el a következő Apple támogatási cikket: Az iOS 17, az iPadOS 17, a macOS 14, a tvOS 17 és a watchOS 10 rendszerben rendelkezésre álló megbízható gyökértanúsítványok listája.
Ha valamelyik előre telepített gyökértanúsítvány biztonsága sérül, az iPhone-ok, iPadek és Macek vezeték nélküli módon (illetve Macek esetében Etherneten keresztül) frissítik a tanúsítványokat. Ezt a funkciót a mobileszköz-felügyelet (MDM) „Allow automatic updates to certificate trust settings” korlátozásával kapcsolhatja ki amely megakadályozza a tanúsítványok vezeték nélküli vagy vezetékes hálózatokon keresztül történő frissítését.
Támogatott identitástípusok
Az identitás egy tanúsítványból és a hozzá társított privát kulcsból áll. A tanúsítványok szabadon terjeszthetők, de az identitásokat bizalmasan kell kezelni. A szabadon terjesztett tanúsítvány és a hozzá tartozó nyilvános kulcs segítségével lehet titkosítást végezni, és a titkosítás csak a kapcsolódó privát kulccsal oldható fel. Az identitás titkos kulcsa egy PKCS #12 identitástanúsítványként és (.p12) fájlként van tárolva, és egy másik kulcs titkosítja, amelyet egy jelszó véd. Az identitás használható hitelesítésre (pl. 802.1X EAP-TLS), aláírásra és titkosításra (pl. S/MIME).
Az Apple eszközök az alábbi formátumú tanúsítványokat és identitásokat támogatják:
Tanúsítvány: .cer, .crt, .der, X.509 tanúsítványok RSA-kulcsokkal
Identitás: .pfx, .p12
Tanúsítvány megbízhatósága
Ha a tanúsítványt olyan tanúsítványkiadó központ adta ki, amelynek gyökértanúsítványa nem szerepel a megbízható gyökértanúsítványok listáján, akkor az iOS, az iPadOS, a macOS és a visionOS rendszer nem tartja megbízhatónak a tanúsítványt. Ez gyakran előfordul vállalati hitelesítőszolgáltatók esetén. A megfelelő megbízhatóság érdekében a tanúsítványok üzembe helyezése című részben ismertetett módszert alkalmazza. Ez létrehozza a megbízhatósági kapcsolatot a telepített tanúsítványhoz. Többrétegű nyilvános kulccsal működő infrastruktúra esetén előfordulhat, hogy a megbízhatósághoz nem csak a gyökértanúsítványra van szükség, hanem a megbízhatósági lánc köztes elemeire is. Gyakori, hogy a vállalati szintű megbízhatóságot egyetlen konfigurációs profillal konfigurálják, amely a mobileszköz-felügyeleti (MDM) megoldáson keresztül frissíthető, anélkül hogy az hatással lenne az eszköz más szolgáltatásaira.
Gyökértanúsítványok iPhone-on, iPaden és Apple Vision Prón
Azoknál a gyökértanúsítványoknál, amelyek egy profil segítségével lettek manuálisan telepítve nem felügyelt iPhone-okra, iPadekre vagy Apple Vision Prókra, a következő figyelmeztetés jelenik meg: „A(z) „tanúsítvány neve” tanúsítvány telepítésekor az hozzá fog adódni az iPhone-ján vagy iPadjén lévő megbízható tanúsítványok listájához. Ez a tanúsítvány nem lesz megbízhatóként jelölve, amíg nem engedélyezi a Trust-tanúsítványok beállításaiban.”
A felhasználó ezt követően a Beállítások > Általános > Névjegy > Trust-tanúsítványok beállításai menüpontnál jelölheti meg megbízhatóként a tanúsítványt.
Megjegyzés: Az MDM-megoldással telepített vagy az adminisztrált eszközökön lévő gyökértanúsítványok esetében nem lehet módosítani a megbízhatósági beállításokat.
Gyükértanúsítványok Macen
A kézzel, egy konfigurációs profilon keresztül telepített tanúsítványoknak további műveletet kell végrehajtaniuk a telepítés befejezéséhez. A profil hozzáadása után a felhasználó a Beállítások > Általános > Profilok lehetőséget választva kijelölheti a profilt a Letöltött alatt.
A felhasználó ezután megtekintheti a részleteket, törölheti vagy folytathatja a Telepítés gombra kattintva. Előfordulhat, hogy a felhasználónak meg kell adnia egy helyi adminisztrátori felhasználónevet és jelszót.
Megjegyzés: macOS 13 vagy újabb esetén a konfigurációs profillal kézzel telepített gyökértanúsítványok nincsenek megbízhatóként megjelölve a TLS által. Ha szükséges, a Kulcskarika-elérés app használható a TLS-megbízhatóság engedélyezéséhez. Az MDM-megoldással telepített vagy az adminisztrált eszközökön lévő gyökértanúsítványok esetében nem lehet módosítani a megbízhatósági beállításokat, és megbízhatóként vannak beállítva a TLS-használatához.
Közbenső tanúsítványok a Macen
Az közbenső tanúsítványokat a tanúsítványkiadó központ gyökértanúsítványa bocsátja ki és írja alá, és a Macen a Kulcskarika-elérés appal kezelhetők. Ezeknek a tanúsítványoknak más gyökértanúsítványoknál rövidebb az érvényessége, és a szervezetek arra használják, hogy a webböngészők mebízzanak azokban a webhelyekben, amelyek egy közbenső tanúsítványhoz vannak rendelve. A felhasználók a Kulcskarika-elérés Rendszer kulcskarikájának megtekintésével kereshetik meg a lejárt közbenső tanúsítványt.
S/MIME-tanúsítványok Macen
Ha a felhasználó bármilyen S/MIME-tanúsítványt töröl a kulcskarikájáról, többé nem tudja elolvasni a korábbi e-maileket, amelyek ezekkel a tanúsítványokkal voltak titkosítva.