Guide til Digitale Certifikater på Apple-enheder

13/05/2005

★★★★★Rating: 4.6 (7520 votes)

I en stadig mere digitaliseret verden er sikkerheden af vores personlige og fortrolige data altafgørende. Apple-enheder som iPhone, iPad og Mac er udstyret med avancerede sikkerhedsfunktioner, og en af de mest fundamentale, men ofte oversete, komponenter er brugen af digitale certifikater. Disse certifikater fungerer som digitale pas, der verificerer identiteten af websteder, servere og endda enkeltpersoner, hvilket sikrer, at din kommunikation forbliver privat og beskyttet. Uden dem ville vores online interaktioner være sårbare over for aflytning og bedrageri. Denne artikel vil dykke ned i, hvordan Apple-enheder understøtter og administrerer digitale certifikater, og hvordan du kan udnytte dem til at opnå en mere sikker digital oplevelse.

Do Apple devices support digital certificates & identities? — Apple devices support digital certificates and identities, giving your organisation streamlined access to corporate services. These certificates can be used in a variety of ways. For example, the Safari browser can check the validity of an X.509 digital certificate and establish a secure session with up to 256-bit AES encryption.

Indholdsfortegnelse

Hvad er et Digitalt Certifikat og en Identitet?
Apples Indbyggede Tillidssystem og Rodcertifikater
Installation og Administration af Certifikater på Tværs af Enheder
- På iPhone, iPad og visionOS
- På Mac
For Udviklere: Oprettelse og Deling af Certifikater
Sammenligning af Certifikathåndtering
Ofte Stillede Spørgsmål (OSS)

Hvad er et Digitalt Certifikat og en Identitet?

Et digitalt certifikat er en lille datafil, der fungerer som et elektronisk bevis på identitet. Når du for eksempel besøger din netbank, bruger din Safari-browser et digitalt certifikat fra bankens server til at etablere en sikker, krypteret forbindelse. Dette gøres ved hjælp af X.509-standarden og kan involvere kryptering op til 256-bit AES. Processen indebærer to nøglefunktioner: at verificere, at webstedets identitet er legitim, og at sikre, at al kommunikation er beskyttet mod aflytning.

Certifikater bruges også til at garantere identiteten af afsenderen eller "underskriveren" af en e-mail (via S/MIME), til at kryptere e-mails, konfigurationsprofiler og netværkskommunikation. Et certifikat indeholder typisk en offentlig nøgle, information om ejeren (en person, server eller organisation) og er digitalt underskrevet af en anerkendt Certificeringsautoritet (CA).

Når et certifikat kombineres med sin tilsvarende private nøgle, kaldes det en identitet. Mens certifikatet (med den offentlige nøgle) kan distribueres frit, skal identiteten og dens private nøgle holdes strengt fortrolig. Den private nøgle er den eneste nøgle, der kan dekryptere data, som er blevet krypteret med den offentlige nøgle. En identitet lagres typisk i en PKCS #12-fil med filtypenavnet .p12 eller .pfx og er beskyttet med en adgangskode.

Apples Indbyggede Tillidssystem og Rodcertifikater

Apple-enheder leveres med en række forudinstallerede rodcertifikater fra forskellige globale Certificeringsautoriteter (CA'er). Disse rodcertifikater udgør grundlaget for tillidskæden. Når du opretter forbindelse til en sikker tjeneste, verificerer dit operativsystem (iOS, iPadOS, macOS, etc.) certifikatet ved at følge kæden tilbage til et af disse forudinstallerede og betroede rodcertifikater. Hvis systemet ikke kan validere denne kæde, opstår der en fejl, og du vil blive advaret om, at forbindelsen muligvis ikke er sikker.

Dette system er dynamisk. Hvis et af de forudinstallerede rodcertifikater bliver kompromitteret, kan Apple trådløst opdatere certifikatlisten på din enhed for at fjerne tilliden. Organisationer, der bruger en Mobile Device Management (MDM)-løsning, kan deaktivere denne funktion via en restriktion kaldet "Tillad automatiske opdateringer af indstillinger for certifikattillid", men det anbefales generelt at lade den være aktiveret for maksimal sikkerhed.

Installation og Administration af Certifikater på Tværs af Enheder

Processen for at installere og stole på certifikater, især dem fra en virksomheds interne CA, varierer lidt mellem iOS/iPadOS og macOS.

På iPhone, iPad og visionOS

Når du manuelt installerer et certifikat på en ikke-overvåget iPhone eller iPad via en konfigurationsprofil, tilføjes det til listen over certifikater, men det er ikke automatisk betroet for websteder. Du vil se en advarsel, der siger: "Installation af certifikatet '[certifikatnavn]' føjer det til listen over godkendte certifikater på din iPhone. Dette certifikat vil ikke være godkendt til websteder, før du aktiverer det i Indstillinger for certifikatgodkendelse."

For at fuldføre processen og etablere tillid skal brugeren manuelt navigere til:

Indstillinger > Generelt > Om
Rul helt ned og tryk på Indstillinger for certifikatgodkendelse.
Her kan du slå kontakten til for det pågældende rodcertifikat for at aktivere fuld tillid.

Hvis enheden er overvåget eller certifikatet er implementeret via en MDM-løsning, er denne manuelle handling ikke nødvendig, og muligheden for at ændre tillidsindstillingerne er deaktiveret.

På Mac

På en Mac med macOS 13 eller nyere, der installerer et certifikat manuelt via en profil, markeres det som standard ikke som betroet for TLS (Transport Layer Security). Efter installation af profilen skal brugeren muligvis bruge programmet Nøglering adgang (Keychain Access) for at aktivere fuld tillid.

Mellemliggende certifikater (intermediate certificates), som udstedes af rod-CA'er, kan også administreres i Nøglering adgang. Disse har ofte en kortere udløbsdato og bruges til at sikre, at webbrowsere stoler på websteder, der er knyttet til dem. Brugere kan finde og inspicere disse certifikater i 'System'-nøgleringen.

En vigtig bemærkning vedrører S/MIME-certifikater, der bruges til e-mail-kryptering. Hvis en bruger sletter et S/MIME-certifikat fra sin nøglering, vil de ikke længere kunne læse tidligere e-mails, der blev krypteret med netop det certifikat.

Can I share a distribution certificate with other machines? — To share this certificate with other machines, you must export it. Apple Distribution is a newer version of the distribution certificate. It supports more platforms (iOS, tvOS, watchOS, macOS, Catalyst) than the iOS Distribution certificate (iOS, tvOS), but it only supports newer Xcode version (11 or later), which shouldn't be a problem right now.

For Udviklere: Oprettelse og Deling af Certifikater

For iOS- og macOS-udviklere er håndtering af certifikater en afgørende, men ofte kompleks opgave, især når man arbejder i et team. For at distribuere en app skal den være signeret med et gyldigt distributionscertifikat. Hvis flere udviklere skal kunne bygge og distribuere appen, skal de dele den samme certifikatidentitet.

Processen involverer typisk følgende trin:

Opret en anmodning om certifikatsignering (CSR): Dette gøres via Nøglering adgang på en Mac. Man vælger 'Certificate Assistant' > 'Request a Certificate from a Certificate Authority'. Her angiver man en e-mail og et navn til nøglen og gemmer CSR-filen på disken.
Opret certifikatet i Apple Developer Portal: Log ind på udviklerportalen, gå til 'Certificates, IDs & Profiles', og opret et nyt certifikat (f.eks. 'Apple Distribution'). Her uploader du den CSR-fil, du lige har oprettet.
Installer certifikatet: Når certifikatet er oprettet, downloader du .cer-filen og dobbeltklikker på den. Den installeres automatisk i Nøglering adgang under 'Mine certifikater'.
Eksporter identiteten (.p12-fil): For at dele certifikatet med andre skal du eksportere identiteten. I Nøglering adgang finder du certifikatet, højreklikker og vælger 'Eksporter'. Gem filen som en .p12-fil. Du vil blive bedt om at oprette en adgangskode for at beskytte filen – dette er afgørende for sikkerheden.
Importer identiteten på en anden maskine: Den anden udvikler skal blot dobbeltklikke på .p12-filen og indtaste den adgangskode, du oprettede, for at installere identiteten i deres Nøglering adgang.

Sammenligning af Certifikathåndtering

Funktion	iPhone / iPad / visionOS	Mac
Manuel Tillid	Kræver aktivering i Indstillinger > Generelt > Om	Kan kræve aktivering af TLS-tillid i Nøglering adgang
MDM-Styring	Automatisk tillid på overvågede enheder	Automatisk tillid på overvågede enheder
Håndtering af Mellemliggende Certifikater	Administreres automatisk af systemet	Kan inspiceres og administreres via Nøglering adgang
Eksportering af Identitet	Ikke muligt for brugeren	Muligt via Nøglering adgang (.p12-fil)

Ofte Stillede Spørgsmål (OSS)

Hvad sker der, hvis jeg ikke stoler på et rodcertifikat?

Hvis du ikke manuelt aktiverer tillid for et rodcertifikat (f.eks. fra din arbejdsplads), vil kommunikation med tjenester, der bruger certifikater udstedt af denne autoritet, mislykkes eller vise sikkerhedsadvarsler. Du vil ikke kunne etablere en sikker forbindelse til interne websteder, Wi-Fi-netværk eller andre tjenester, der er afhængige af det.

Kan jeg fjerne et certifikat, jeg har installeret?

Ja, certifikater installeret via en profil kan fjernes ved at slette profilen. På iOS/iPadOS gøres dette under Indstillinger > Generelt > VPN og enhedsadministration. På macOS kan du fjerne profiler under Systemindstillinger > Anonymitet & sikkerhed > Profiler, eller fjerne certifikater direkte i Nøglering adgang.

Hvad er forskellen på et certifikat (.cer) og en identitet (.p12)?

Et certifikat (.cer, .crt) indeholder primært den offentlige nøgle og information om ejeren. Det kan deles frit. En identitet (.p12, .pfx) er en beskyttet pakke, der indeholder både certifikatet (den offentlige del) og den tilhørende private nøgle. Den private nøgle er hemmelig og bruges til at dekryptere data og oprette digitale signaturer.

Hvorfor skal jeg beskytte min .p12-fil med en adgangskode?

Fordi .p12-filen indeholder din private nøgle. Hvis en uautoriseret person får adgang til denne fil og adgangskoden, kan de udgive sig for at være dig, signere kode i dit navn eller dekryptere fortrolige data, der er sendt til dig. Adgangskoden er et afgørende sikkerhedslag.

Hvis du vil læse andre artikler, der ligner Guide til Digitale Certifikater på Apple-enheder, kan du besøge kategorien Sundhed.