Hoofdstuk 4 Infrastructuur en integratie 37
Digitale certicaten
Apple apparaten bieden ondersteuning voor digitale certicaten en identiteiten, zodat uw
organisatie op een gestroomlijnde manier toegang heeft tot de bedrijfsvoorzieningen. Deze
certicaten kunnen op verschillende manieren worden gebruikt. Safari kan bijvoorbeeld de
geldigheid van een digitaal X.509-certicaat controleren en via AES-codering (tot 256 bits) een
veilige sessie starten. Er wordt gecontroleerd of de identiteit van de website geldig is en of de
communicatie met de website wordt gecodeerd, zodat persoonlijke of vertrouwelijke gegevens
niet door derden kunnen worden onderschept. Certicaten kunnen worden gebruikt om de
identiteit van de auteur of 'ondertekenaar' te garanderen. Bovendien kunt u met behulp van
digitale certicaten e-mail, conguratieproelen en de netwerkcommunicatie coderen, zodat
vertrouwelijke informatie ook echt vertrouwelijk blijft.
Certicaten gebruiken met Apple apparaten
Apple apparaten bieden standaard een aantal vooraf geïnstalleerde rootcerticaten van
verschillende certicaatautoriteiten. iOS gaat na of deze rootcerticaten worden vertrouwd.
Als de vertrouwensketen van de ondertekenende certicaatautoriteit niet kan worden
gevalideerd, doet zich een fout voor. Een zelfondertekend certicaat kan bijvoorbeeld standaard
niet worden geverieerd in iOS. Zie voor een actuele lijst van vertrouwde rootcerticaten in iOS
het Apple Support-artikel iOS 8: List of available trusted root certicates (Engelstalig).
iOS-apparaten kunnen certicaten draadloos bijwerken als de veiligheid van een van de vooraf
geïnstalleerde rootcerticaten in het geding is. Deze voorziening kan eventueel worden
uitgeschakeld met een MDM-beperking die voorkomt dat certicaten draadloos worden
bijgewerkt.
Deze digitale certicaten kunnen worden gebruikt om een client of server te identiceren en
om de communicatie hiertussen te coderen met behulp van de publieke en private sleutel.
Een certicaat bevat een publieke sleutel en informatie over de client (of server), en wordt
ondertekend (geverieerd) door een certicaatautoriteit.
Een certicaat en de bijbehorende private sleutel vormen samen een identiteit. Certicaten
kunnen vrijelijk worden verspreid, maar identiteiten moeten veilig worden bewaard. Het vrijelijk
verspreide certicaat, en dan met name de publieke sleutel daarvan, wordt gebruikt voor
codering die alleen kan worden gedecodeerd met behulp van de bijbehorende private sleutel.
Om de private sleutel van een identiteit te beveiligen, wordt de sleutel in een PKCS12-bestand
bewaard, dat wordt gecodeerd met een andere sleutel die is beveiligd met een wachtzin.
Een identiteit kan worden gebruikt voor identiteitscontrole (zoals 802.1x EAP-TLS), ondertekening
of codering (zoals S/MIME).
Dit is een lijst met ondersteunde certicaat- en identiteitsstructuren op Apple apparaten:
•
X.509-certicaten met RSA-sleutels
•
Certicaat: .cer, .crt, .der
•
Identiteit: .pfx, .p12
Implementeer certicaten om een vertrouwensketen tot stand te brengen voor certicaatautoriteiten
die niet standaard worden vertrouwd (zoals een organisatie die certicaten uitgeeft).
