Introduksjon til sertifikatadministrering for Apple-enheter
Apple-enheter støtter digitale sertifikater og identiteter, slik at organisasjonen får strømlinjeformet tilgang til bedriftstjenester. Sertifikatene kan brukes på en rekke måter. Safari-nettleseren kan kontrollere om et digitalt X.509-sertifikat er gyldig og etablere en sikker økt med opptil 256-bit AES-kryptering. Det sørger for at nettstedets identitet er godkjent og at kommunikasjonen med nettstedet er beskyttet, slik at personlig eller konfidensiell informasjon ikke kan fanges opp. Sertifikatene kan også brukes til å bekrefte identiteten til en forfatter eller signerer, og til å kryptere e-post, konfigurasjonsprofiler og nettverkskommunikasjon.
Bruke sertifikater med Apple-enheter
Apple-enheter leveres med en rekke installerte rotsertifikater fra ulike sertifiseringsmyndigheter (CA-er), og iOS, iPadOS, macOS og visionOS kontrollerer at disse rotsertifikatene er gyldige. De digitale sertifikatene kan brukes til sikker identifisering av en klient eller server og til å kryptere kommunikasjonen mellom dem med det offentlige og private nøkkelparet. Et sertifikat inneholder en offentlig nøkkel, informasjon om klienten (eller tjeneren) og signeres (bekreftes) av en sertifiseringsmyndighet.
Hvis iOS, iPadOS, macOS eller visionOS ikke kan bekrefte at sertifikatet fra en sertifiseringsmyndighet er gyldig, blir tjenesten stanset av en feilmelding. Et selvsignert sertifikat kan ikke verifiseres uten brukermedvirkning. Du finner mer informasjon i følgende Apple-kundestøtteartikkel: Liste over tilgjengelige godkjente rotsertifikater i iOS 17, iPadOS 17, macOS 14, tvOS 17 og watchOS 10.
iPhoner, iPader og Macer kan oppdatere sertifikater trådløst (og Mac over Ethernet) dersom noen av de forhåndsinstallerte rotsertifikatene ikke lenger kan brukes. Du kan deaktivere denne funksjonen ved hjelp av MDM-restriksjonen «Allow automatic updates to certificate trust settings» som forhindrer sertifikatoppdateringer over trådløse eller kablede nettverk.
Støttede identitetstyper
Et sertifikat og den private nøkkelen som er tilknyttet sertifikatet, kalles en identitet. Sertifikater kan distribueres fritt, mens identiteter må oppbevares sikkert. Sertifikatet som distribueres fritt, og særlig den offentlige nøkkelen, brukes til kryptering som kun kan dekrypteres av den tilknyttede private nøkkelen. Den private nøkkeldelen til en identitet lagres som en PKCS #12-identitetssertifikatfil (.p12) og krypteres av en annen nøkkel som beskyttes av en passordfrase. En identitet kan brukes til autentisering (som 802.1X EAP-TLS), signering eller kryptering (som S/MIME).
Apple-enheter støtter følgende sertifikat- og identitetsformater:
Sertifikat: .cer-, .crt-, .der-, X.509-sertifikater med RSA-nøkler
Identitet: .pfx, .p12
Godkjenning av sertifikater
Hvis et sertifikat er utstedt av en sertifiseringsmyndighet hvis rot ikke er på listen med godkjente rotsertifikater, vil ikke iOS, iPadOS, macOS og visionOS godkjenne sertifikatet. Dette er ofte tilfelle med bedriftsutstedende sertifiseringsmyndigheter. Benytt metodene beskrevet i sertifikatutrulling-delen for å etablere godkjenning. Dette stiller inn godkjenningsankeret ved sertifikatet som rulles ut. For offentlig nøkkel-infrastrukturer med flere nivåer kan det være nødvendig å etablere godkjenning ikke kun med rotsertifikatet, men også med eventuelle mellomledd i kjeden. Ofte konfigureres bedriftsgodkjenning i én konfigurasjonsprofil som kan oppdateres ved hjelp av MDM-løsningen etter behov, uten at andre tjenester på enheten påvirkes.
Rotsertifikater på iPhone, iPad og Apple Vision Pro
Rotsertifikater som installeres manuelt på iPhoner og iPader og Apple Vision Pro som er uten tilsyn, viser følgende advarsel: «Hvis du installerer sertifikatet «sertifikatnavn», blir det lagt til i listen over godkjente sertifikater på iPhone eller iPad. Sertifikatet vil ikke bli godkjent for nettsteder før du aktiverer det i innstillingene for sertifikatgodkjenning.
Brukeren kan så godkjenne sertifikatet på enheten ved å gå til Innstillinger > Generelt > Om > Innstillinger for sertifikatgodkjenning.
Merk: Rotsertifikater som er installert av en MDM-løsning eller på enheter under tilsyn, deaktiverer valget for å endre godkjenningsinnstillinger.
Rotsertifikater på Mac
Sertifikater som er installert manuelt gjennom en konfigurasjonsprofil må få en ekstra handling utført for å fullføre installasjonen. Etter at profilen er lagt til, kan brukeren gå til Innstillinger > Generelt > Profiler og velge profilen under Nedlastet.
Brukeren kan deretter se gjennom detaljene, avbryte eller gå videre ved å klikke på Installer. Brukeren kan måtte oppgi et lokalt administratornavn og -passord.
Merk: I macOS 13 eller nyere blir rotsertifikater som installeres manuelt med en konfigurasjonsprofil, ikke merket som godkjent for TLS som standard. Hvis det trengs, kan Nøkkelringtilgang-appen brukes til å aktivere TLS-godkjenning. Rotsertifikater som er installert av en MDM-løsning eller på enheter under tilsyn, deaktiverer valget for å endre godkjenningsinnstillinger og er godkjent for bruk med TLS.
Midlertidige sertifikater på Mac
Midlertidige sertifikater utstedes og signeres av sertifikatautoritets rotsertifikat og de kan administreres på en Mac med Nøkkelringtilgang-appen. Disse midlertidige sertifikatene har kortere utløpsdato enn de fleste rotsertifikater, og de brukes av organisasjoner slik at nettlesere godkjenner nettsteder tilknyttet et midlertidig sertifikat. Brukere kan finne utgåtte midlertidige sertifikater ved å vise systemnøkkelringen i Nøkkelringtilgang.
S/MIME-sertifikater på Mac
Hvis en bruker sletter S/MIME-sertifikater fra nøkkelringen, kan de ikke lenger lese tidligere e-poster som var kryptert med disse sertifikatene.