Змінення політик довіри до сертифікатів на Mac
Сертифікати широко використовуються для захисту електронної інформації. Наприклад, сертифікат може знадобитися для підписування е-листів, шифрування документа або під’єднання до захищеної мережі. Для кожної задачі застосовується відповідна політика довіри, яка визначає, чи дійсний сертифікат для такої задачі. Сертифікат може бути дійсним для певних задач і недійсним для інших.
У системі macOS використовується низка політик довіри для визначення надійності сертифіката. Ви можете вибирати різні політики для кожного сертифіката, що дозволить вам краще керувати їх оцінюванням.
Політика довіри | Опис |
|---|---|
Використовувати стандартні «Системні параметри» або значення не вказано | Використовувати стандартні настройки для сертифіката |
Завжди довіряти | Довіряти автору програми та завжди надавати доступ до сервера або програми. |
Ніколи не довіряти | Не довіряти автору програми і не надавати доступ до сервера або програми. |
Протокол захищених з’єднань (SSL) | Для успішного встановлення з’єднання ім’я в сертифікаті сервера має відповідати імені вузла DNS. Для клієнтських сертифікатів SSL перевірка імені вузла не виконується. За наявності поля розширеного використання ключа воно має містити відповідне значення. |
Захищена пошта (S/MIME) | Е-пошта використовує сертифікат S/MIME, щоб безпечно підписувати та шифрувати повідомлення. У сертифікаті має бути вказана адреса е-пошти користувача та включені поля використання ключа. |
Розширений протокол аутентифікації (EAP) | У разі з’єднання з мережею, яка потребує автентифікації 802.1X, ім’я в сертифікаті сервера має відповідати імені вузла DNS. Імена вузлів клієнтських сертифікатів не перевіряються. Якщо наявне поле розширеного використання ключа, воно має містити відповідне значення. |
Захист IP (IPSec) | Коли сертифікати використовуються для захисту зв’язку за інтернет-протоколами (наприклад, під час встановлення VPN-з’єднання), ім’я в сертифікаті сервера має відповідати імені вузла DNS. Імена вузлів клієнтських сертифікатів не перевіряються. Якщо наявне поле розширеного використання ключа, воно має містити відповідне значення. |
Підписування коду | Сертифікат має містити настройки використання ключа, які чітко дозволяються підписування коду. |
Проставлення часових міток | Ця політика визначає придатність сертифіката для створення надійної часової мітки, яка перевіряє, щоб цифровий підпис було поставлено в певний час. |
Основна політика X.509 | Ця політика визначає дійсність сертифіката щодо основних вимог, наприклад, що сертифікат видав дійсний центр сертифікації, але без зауважень про мету або дозволене використання ключа. |