Introdução à gestão de certificados para dispositivos Apple
Os dispositivos Apple suportam certificados e identidades digitais, fornecendo à sua organização um acesso simplificado aos serviços empresariais. Estes certificados podem ser utilizados de várias maneiras. Por exemplo, o navegador Safari pode verificar a validade de um certificado digital X.509 e estabelecer uma sessão segura com uma cifragem AES de até 256 bits. Isto envolve a verificação de que a identidade do site é legítima e que a comunicação com o site está protegida para ajudar a prevenir a interceção de dados pessoais ou confidenciais. Os certificados também podem ser utilizados para garantir a identidade do autor ou “signatário” e cifrar o correio eletrónico, perfis de configuração e comunicações da rede.
Usar certificados com dispositivos Apple
Os dispositivos Apple incluem vários certificados de raiz pré-instalados de várias autoridades de certificação (CA), e o iOS, o iPadOS, o macOS e o visionOS validam a confiança para estes certificados de raiz. Estes certificados digitais podem ser utilizados para identificar em segurança um cliente ou servidor e cifrar a comunicação entre eles utilizando o par de chave pública e privada. Um certificado contém uma chave pública, informação acerca do cliente (ou servidor) e esta assinado (verificado) por uma CA.
O serviço encontra um erro, se o iOS, iPadOS, macOS ou visionOS não conseguir validar a cadeia de confiança da CA signatária. Não é possível verificar um certificado auto-assinado sem interação do utilizador. Encontrará mais informação no artigo do Suporte Apple Lista de certificados de raiz fidedignos disponíveis no iOS 17, iPadOS 17, macOS 14, tvOS 17 e watchOS 10.
Os dispositivos iPhone, iPad e Mac podem atualizar os certificados sem fios (e para o Mac, através de Ethernet) se qualquer um dos certificados de raiz pré-instalados ficar comprometido. Pode desativar esta funcionalidade usando a restrição de gestão de dispositivos móveis (MDM) “Allow automatic updates to certificate trust settings”, que impede as atualizações de certificados através de redes com ou sem fios.
Tipos de identidade suportados
Um certificado e a sua chave privada associada são designados como identidade. Os certificados podem ser distribuídos livremente, mas as identidades devem ser mantidas em segurança. O certificado distribuído livremente e a respetiva chave pública em particular são utilizados para cifragem que só pode ser decifrada pela chave privada correspondente. A parte da chave privada de uma identidade é armazenada como um ficheiro de certificado de identidade PKCS #12 (.p12) e cifrada com outra chave que é protegida por uma fase de acesso. Uma identidade pode ser utilizada para autenticação (como 802.1X EAP-TLS), assinatura ou cifragem (como S/MIME).
Os formatos de certificado e identidade suportados por dispositivos Apple são:
Certificado: certificados .cer, .crt, .der, X.509 com chaves RSA;
Identidade: .pfx, .p12.
Confiança de certificados
Se um certificado tiver sido emitido por uma CA cuja raiz não esteja na lista de certificados de raiz fidedignos, o iOS, o iPadOS, o macOS ou o visionOS não confiarão no certificado. Isto é frequentemente o caso com CAs emissoras de empresas. Para estabelecer a confiança, use o método descrito na implementação de certificado. Isto define a âncora de confiança no certificado que está a ser implementado. No caso de infraestruturas com chave pública e múltiplas camadas, pode ser necessário estabelecer a confiança não só apenas em relação ao certificado de raiz mas também com quaisquer intermediários na cadeia. Frequentemente, a confiança de empresa é configurada num perfil de configuração única que pode ser atualizada com a sua solução MDM conforme necessário sem afetar outros serviços no dispositivo.
Certificados de raiz no iPhone, iPad e Apple Vision Pro
Os certificados de raiz instalados manualmente num iPhone, iPad ou Apple Vision Pro não supervisionados através de um perfil apresentam a seguinte advertência: “Se instalar o certificado “nome do certificado”, este é adicionado à lista de certificados de confiança no iPhone ou iPad. Este certificado não será considerado de confiança para sites até ser ativado nas Definições de confiança de certificados.”
Em seguida, o utilizador pode confirmar o certificado no dispositivo acedendo a Definições > Geral > Informações > Definições de confiança de certificados.
Nota: os certificados de raiz instalados por uma solução MDM ou em dispositivos supervisionados desativam a opção que permite alterar as definições de confiança.
Certificados de raiz no Mac
Os certificados instalados manualmente através de um perfil de configuração requerem que seja realizada uma ação adicional para concluir a instalação. Após o perfil ser adicionado, o utilizador pode navegar para Definições > Geral > Perfis e selecionar o perfil em “Descarregado”.
O utilizador pode depois consultar os detalhes, cancelar ou continuar clicando em “Instalar”. É possível que o utilizador necessite de introduzir um nome de utilizador e palavra-passe de administrador.
Nota: no macOS 13 ou posterior, por predefinição, os certificados de raiz instalados manualmente com um perfil de configuração não estão marcados como fidedignos para TLS. Se for necessário, a aplicação Acesso a Porta-chaves pode ser usada para ativar TLS trust. Os certificados de raiz instalados por uma solução MDM ou em dispositivos supervisionados desativam a opção que permite alterar as definições de confiança e são confiados para utilização com TLS.
Certificados intermédios no Mac
Os certificados intermédios são emitidos e assinados pelo certificado raiz das autoridades de certificação e podem ser geridos num Mac com a aplicação Acesso a Porta-chaves. Esses certificados intermédios têm uma data de expiração mais curta que a maioria dos certificados raiz e são usados pelas organizações para que os navegadores da web confiem em sites associados a um certificado intermédio. Os utilizadores podem localizar certificados intermédios expirados pela visualização do porta‑chaves do sistema no Acesso a Porta-chaves.
Certificados S/MIME no Mac
Se um utilizador apagar quaisquer certificados S/MIME do porta-chaves, este deixa de poder ler e-mails anteriores que foram cifrados com esses certificados.