Вступ до керування сертифікатами для пристроїв Apple
Пристрої Apple підтримують цифрові сертифікати й посвідчення, забезпечуючи вашій організації неперервний доступ до корпоративних сервісів. Ці сертифікати можуть використовуватися в різні способи. Наприклад, браузер Safari може перевіряти дійсність цифрового сертифіката X.509 і встановлювати захищений сеанс зв’язку з шифруванням до AES 256 біт. Це включає перевірку дійсності посвідчення сайту і захищеності комунікації з вебсайтом з метою запобігання витоку персональних або конфіденційних даних. Сертифікати також можна використовувати для гарантування посвідчення автора або підписувача і для шифрування пошти, профайлів конфігурації й мережевих комунікацій.
Використання сертифікатів на пристроях Apple
На пристроях Apple є ряд попередньо інстальованих кореневих сертифікатів від різних Центрів сертифікації, і операційні системи iOS, iPadOS, macOS і visionOS підтверджують надійність цих кореневих сертифікатів. Ці цифрові сертифікати можна використовувати для безпечної ідентифікації клієнта або сервера та шифрування комунікації між ними за допомогою пари загальнодоступного і приватного ключів. Сертифікат включає загальнодоступний ключ, інформацію про клієнта (або сервер) і є підписаним (перевіреним) Центром сертифікації.
Якщо система iOS, iPadOS, macOS чи visionOS не може перевірити ланцюжок довіри центру сертифікації, який надав підпис, служба поверне помилку. Самопідписаний сертифікат не може бути перевірений без взаємодії з користувачем. Більше інформації наведено в статті служби підтримки Apple Список доступних довірених кореневих сертифікатів в iOS 17, iPadOS 17, macOS 14, tvOS 17 і watchOS 10.
Пристрої iPhone, iPad і Mac можуть оновити сертифікати бездротовим чином (а для Mac і через Ethernet), якщо один із попередньо інстальованих кореневих сертифікатів було скомпроментовано. Можна вимкнути цю функцію за допомогою обмежень рішення керування мобільними пристроями (MDM) а саме «Allow automatic updates to certificate trust settings» (Дозволити автоматичні оновлення параметрів довіри сертифіката), яке запобігає оновленням сертифіката бездротовим чином або через дротові мережі.
Підтримувані типи посвідчень
Сертифікат і пов’язаний з ним приватний ключ відомі як посвідчення. Сертифікати можна вільно розповсюджувати, однак посвідчення потрібно зберігати в таємниці. Сертифікат, який вільно розповсюджують, і особливо його відкритий ключ використовується для шифрування, яке можна розшифрувати лише відповідним приватним ключем. Приватний ключ посвідчення зберігається як файл сетифікату посвідчення PKCS #12 (.p12) та зашифрований ще одним ключем, захищеним паролем. Посвідчення можна використовувати для автентифікації (наприклад, 802.1X EAP-TLS), підпису або шифрування (наприклад, S/MIME).
Пристрої Apple підтримують такі формати сертифікатів і посвідчень:
Сертифікати: .cer, .crt, .der, X.509 з ключами RSA;
Посвідчення: .pfx, .p12.
Довіра сертифіката
Якщо сертифікат випущено Центром сертифікації, чийого кореневого сертифіката немає в списку довірених кореневих сертифікатів, системи iOS, iPadOS, macOS і visionOS не схвалять такий сертифікат. Це часто трапляється з корпоративними центрами сертифікації. Щоб налагодити довіру, використовуйте метод, описаний у розділі про розгортання сертифікатів. Це встановлює точку довіри для сертифіката, який розгортається. Для багаторівневих інфраструктур із загальнодоступним ключем може знадобитися встановити довіру не тільки для кореневого сертифіката, але й для проміжних сертифікатів у ланцюжку. Часто корпоративні параметри довіри налаштовано в єдиному профайлі конфігурації, який можна оновити за потреби за допомогою рішення MDM, не впливаючи при цьому на інші сервіси на пристрої.
Кореневі сертифікати на iPhone, iPad і Apple Vision Pro
Кореневі сертифікати, інстальовані вручну на пристроях iPhone, iPad або Apple Vision Pro не під наглядом через профіль, показуватимуть це попередження: «Інсталювання сертифіката “назва сертифіката” додасть його до списку довірених сертифікатів на вашому пристрої iPhone або iPad». Вебсайти не довірятимуть цьому сертифікату, доки ви не ввімкнете це в параметрах довіри сертифіката.
Користувач може визнати сертифікат надійним на пристрої, перейшовши в меню Параметри > Загальні > Про пристрій > Параметри довіри сертифікатів.
Примітка. Якщо кореневі сертифікати інстальовано за допомогою рішення MDM або на пристроях під наглядом, це вимикає можливість змінювати параметри довіри.
Кореневі сертифікати на комп’ютері Mac
Для сертифікатів, встановлених вручну через профіль конфігурації, для завершення встановлення потрібно виконати додаткову дію. Після додавання профілю користувач може перейти до розділу Параметри > Загальні > Профілі та вибрати профіль у розділі «Завантажено».
Користувач може переглянути відомості, скасувати або продовжити, натиснувши Install (Інсталювати). Користувачу може знадобитися вказати ім’я користувача та пароль локального адміністратора.
Примітка. У macOS 13 або новіших кореневі сертифікати, встановлені вручну за допомогою профілю конфігурації, за замовчуванням не позначені як надійні для TLS. За необхідності, для встановлення довіри TLS можна використовувати програму Keychain Access. Якщо кореневі сертифікати інстальовано за допомогою рішення MDM або на пристроях під наглядом, це вимикає можливість змінювати параметри довіри, і встановлено довірене використання TLS.
Проміжні сертифікати на Mac
Проміжні сертифікати видаються і підписуються кореневим сертифікатом центру сертифікації, і ними можна керувати на Mac за допомогою програми Ключар. Ці проміжні сертифікати мають коротший термін дії, ніж більшість кореневих сертифікатів, і їх використовують організації щоб забезпечити довіру веббраузера до вебсайтів, пов’язаних з проміжним сертифікатом. Користувачі можуть знайти прострочені проміжні сертифікати, переглянувши системну в’язку в програмі Ключар.
Сертифікати S/MIME на Mac
Якщо користувач видалить сертифікат S/MIME зі своєї в’язки, він більше не зможе прочитати електронні листи, зашифровані за його допомогою.