Úvod do správy certifikátů na zařízeních Apple
Zařízení Apple podporují digitální certifikáty a identity a poskytují tak vaší organizaci bezproblémový přístup k podnikovým službám. Certifikáty lze používat mnoha různými způsoby. Prohlížeč Safari může například zkontrolovat platnost digitálního certifikátu X.509 a zahájit zabezpečenou relaci s 256bitovým šifrováním AES. Součástí tohoto postupu je prověření, zda je identita serveru legitimní a zda je komunikace s webovou stránkou chráněna, což pomáhá zabránit nepovolanému zachycení osobních nebo důvěrných dat. Prostřednictvím certifikátů lze také zaručit identitu autora či podepisujícího subjektu a šifrovat poštu, konfigurační profily a síťovou komunikaci.
Používání certifikátů na zařízeních Apple
Na zařízeních Apple je k dispozici řada předinstalovaných kořenových certifikátů od různých certifikačních autorit (CA) a systémy iOS, iPadOS, macOS a visionOS ověřují důvěryhodnost těchto kořenových certifikátů. Tyto digitální certifikáty lze používat k zabezpečené identifikaci klienta či serveru a k šifrování komunikace mezi nimi s využitím dvojice veřejného a soukromého klíče. Certifikát obsahuje veřejný klíč, informace o klientovi (nebo serveru) a je podepsán (ověřen) certifikační autoritou.
Pokud se systému iOS, iPadOS, macOS nebo visionOS nepodaří ověřit řetězec důvěryhodnosti podepsané certifikační autority, služba ohlásí chybu. Certifikáty s vlastním podpisem nelze ověřit bez interakce s uživatelem. Další informace najdete v článku podpory Apple Seznam dostupných důvěryhodných kořenových certifikátů v iOS 17, iPadOS 17, macOS 14, tvOS 17 a watchOS 10.
Pokud dojde k narušení bezpečnosti některého z předinstalovaných kořenových certifikátů, na iPhonech, iPadech a počítačích Mac lze certifikáty aktualizovat bezdrátově (a v případě Maců také přes Ethernet). Tuto funkci můžete deaktivovat pomocí omezení správy mobilních zařízení (MDM) „Allow automatic updates to certificate trust settings“, které aktualizaci certifikátů přes bezdrátové i kabelové sítě zakazuje.
Podporované typy identity
Kombinaci certifikátu a přidruženého soukromého klíče nazýváme identita. Certifikáty lze volně šířit, ale identity je nutné uchovávat v tajnosti. Volně distribuovaný certifikát a zejména jeho veřejný klíč se používají k šifrování dat, která pak lze dešifrovat jen pomocí odpovídajícího soukromého klíče. Část identity tvořená soukromým klíčem se ukládá v podobě souboru certifikátu identity PKCS #12 (.p12) a je šifrována pomocí jiného klíče chráněného přístupovým heslem. Identitu lze použít k ověřování (např. 802.1X EAP-TLS), podepisování a šifrování (např. S/MIME).
Zařízení Apple podporují následující formáty certifikátů a identit:
Certifikát: .cer, .crt, .der, X.509 s klíči RSA
Identita: .pfx, .p12
Důvěryhodnost certifikátů
Pokud byl certifikát vydán certifikační autoritou, jejíž kořen není uveden v seznamu důvěryhodných kořenových certifikátů, systém iOS, iPadOS, macOS nebo visionOS mu nebude důvěřovat. Tato situace často nastává zejména u podnikových certifikačních autorit. K ustavení důvěryhodnosti je pak nutné použít metodu popsanou v části Nasazení certifikátů. Tímto způsobem je ukotvena důvěryhodnost nasazovaného certifikátu. U vícevrstvé infrastruktury veřejných klíčů může být nezbytné ustavit důvěryhodnost nejen pro kořenový certifikát, ale také pro všechny další mezistupně v řetězci. Na úrovni podniku se důvěryhodnost často konfiguruje v jediném konfiguračním profilu, který lze podle potřeby aktualizovat v systému MDM, aniž by tím byly ovlivněny další služby dostupné na zařízení.
Kořenové certifikáty na iPhonu, iPadu a Apple Vision Pro
Pro kořenové certifikáty, které uživatel instaluje na iPhone iPad nebo Apple Vision Pro bez dohledu ručně pomocí profilu, se zobrazí následující varování: „Instalací bude certifikát ‚název certifikátu‘ přidán do seznamu důvěryhodných certifikátů v iPhonu nebo iPadu“. Dokud jej neaktivujete v nastavení Důvěryhodnost certifikátu, nebude důvěryhodný na webových stránkách.“
Uživatel pak může označit certifikát jako důvěryhodný v Nastavení > Obecné > Informace > Důvěryhodnost certifikátu.
Poznámka: U kořenových certifikátů nainstalovaných službou MDM nebo certifikátů na zařízeních pod dohledem je volba změny nastavení důvěryhodnosti deaktivována.
Kořenové certifikáty na Macu
U certifikátů instalovaných ručně prostřednictvím konfiguračního profilu musí být k dokončení instalace provedena další akce. Po přidání profilu může uživatel přejít do nabídky Nastavení > Obecné > Profily a vybrat profil v části Stažené položky.
Uživatel pak může zkontrolovat podrobnosti, akci zrušit nebo pokračovat kliknutím na tlačítko Instalovat. Může se stát, že uživatel bude potřebovat zadat uživatelské jméno a heslo místního správce.
Poznámka: V systému macOS 13 nebo novějším nejsou ve výchozím nastavení kořenové certifikáty, které byly nainstalované ručně pomocí konfiguračního profilu, považovány za důvěryhodné pro TLS. V případě potřeby lze k povolení důvěryhodnosti TLS použít aplikaci Klíčenka. U kořenových certifikátů nainstalovaných službou MDM nebo certifikátů na zařízeních pod dohledem je volba změny nastavení důvěryhodnosti deaktivována a certifikáty jsou pro zabezpečení TLS považovány za důvěryhodné.
Zprostředkující certifikáty na Macu
Zprostředkující certifikáty jsou vydávány a podepisovány kořenovým certifikátem certifikačních autorit a lze je v Macu spravovat pomocí aplikace Klíčenka. Tyto zprostředkující certifikáty mají kratší dobu platnosti než většina kořenových certifikátů a organizace je používají s cílem potvrdit webovým prohlížečům důvěryhodnost webových stránek, které jsou se zprostředkujícím certifikátem sdružené. Uživatelé můžou v aplikaci Klíčenka vyhledat prošlé zprostředkující certifikáty v systémovém svazku klíčů.
Certifikáty S/MIME na Macu
Pokud uživatel odstraní ze svého svazku klíčů certifikáty S/MIME, ztratí možnost číst předchozí e‑maily, které byly pomocí těchto certifikátů zašifrovány.