Ändern der Kriterien für die Vertrauenswürdigkeit von Zertifikaten auf dem Mac
Zertifikate sind ein weit verbreitetes Mittel zur Wahrung der Sicherheit elektronischer Informationen. Ein Zertifikat kann dir beispielsweise erlauben, E-Mails zu unterzeichnen, ein Dokument zu verschlüsseln oder eine Verbindung zu einem sicheren Netzwerk herzustellen. Jeder Verwendungszweck wird durch Kriterien für die Vertrauenswürdigkeit definiert, die festlegen, ob ein Zertifikat gültig ist und verwendet werden kann. Ein Zertifikat kann für bestimmte Zwecke gültig, für andere Zwecke aber ungültig sein.
macOS verwendet mehrere Kriterien für die Vertrauenswürdigkeit, um festzulegen, ob ein Zertifikat vertrauenswürdig ist. Du kannst für jedes Zertifikat andere Richtlinien festlegen, vorausgesetzt, die ausgewerteten Zertifikate unterliegen dadurch einer strengeren Kontrolle.
Schlüsselbundverwaltung öffnen
Kriterien für Vertrauenswürdigkeit | Beschreibung |
---|---|
System-Standards verwenden oder keine Angabe eines Werts | Verwende die Standardeinstellung für das Zertifikat. |
Immer vertrauen | Mit dieser Option vertraust du dem:der Autor:in und gewährst dieser Person immer Zugriff auf den Server oder die App. |
Nie vertrauen | Mit dieser Option vertraust dem:der Autor:in nicht und gewährst dieser Person keinen Zugriff auf den Server oder die App. |
Secure Sockets Layer (SSL) | Der Name in einem Serverzertifikat muss mit dem Namen des DNS-Hosts übereinstimmen, damit eine Verbindung erfolgreich aufgebaut werden kann. Bei SSL-Clientzertifikaten erfolgt keine Überprüfung des Hostnamens. Wenn ein Feld für die erweiterte Schlüsselverwendung vorhanden ist, muss es einen gültigen Wert enthalten. |
Secure Mail (S/MIME) | Bei E-Mails wird S/MIME für die sichere Signierung und die Verschlüsselung verwendet. Dies setzt voraus, dass die E-Mail-Adresse des Benutzers im Zertifikat aufgeführt und bestimmte Felder für die Schlüsselverwendung hinzugefügt werden. |
Extensible Authentication Protocol (EAP) | Zum Verbinden mit einem Netzwerk, das eine 802.1X-Authentifizierung erfordert, muss der Name im Zertifikat des Servers mit dem Namen des DNS-Hosts übereinstimmen. Die Hostnamen für Clientzertifikate werden nicht geprüft. Wenn ein Feld für die erweiterte Schlüsselverwendung vorhanden ist, muss es einen gültigen Wert enthalten. |
IP Security (IPsec) | Wenn Zertifikate dazu verwendet werden, den IP-Verkehr zu sichern (z. B. beim Aufbau einer VPN-Verbindung), muss der Name im Zertifikat des Servers mit dem Namen des DNS-Host übereinstimmen. Die Hostnamen für Clientzertifikate werden nicht geprüft. Wenn ein Feld für die erweiterte Schlüsselverwendung vorhanden ist, muss es einen gültigen Wert enthalten. |
Code-Signierung | Das Zertifikat muss Einstellungen für die Schlüsselverwendung enthalten, die das Signieren von Code ausdrücklich gestatten. |
Zeitstempel | Diese Richtlinie bestimmt, ob das Zertifikat für das Erstellen eines vertrauenswürdigen Zeitstempels verwendet werden kann; auf diese Weise wird verifiziert, dass eine digitale Signatur zu einem bestimmten Zeitpunkt vorgenommen wurde. |
X.509-Standardrichtlinien | Diese Richtlinie bestimmt die Gültigkeit des Zertifikats auf der Basis grundlegender Anforderungen wie der Frage, ob das Zertifikat von einer gültigen Zertifizierungsstelle stammt. Der Zweck oder die zulässigen Nutzungsweisen des Schlüssels bleiben dabei aber außer Acht. |