Cómo instalar certificados de CA de raíz en iPhones e iPads

¿Qué es un certificado raíz de CA?

Los certificados X.509 son credenciales electrónicas utilizadas por dispositivos (por ejemplo, servidores, clientes) para autenticarse. Cada certificado vincula la identidad del sujeto (por ejemplo, el nombre de host del servidor o la dirección IP) a un par de claves públicas o privadas. La identidad del sujeto y la clave pública se incluyen en el certificado, junto con el nombre y la firma de la entidad emisora ​​del certificado raíz.

Las CA son responsables de confirmar la identidad del sujeto antes de emitir los certificados de CA solicitados. También son responsables de renovar y, cuando sea apropiado, revocar certificados seleccionados. En efecto, las CA operan como oficinas de pasaportes, entregando pasaportes oficiales a personas autorizadas que han demostrado su identidad.

Una vez que a una persona se le ha emitido un pasaporte, o al servidor se le ha emitido un certificado, estas credenciales se pueden presentar con una firma como prueba de identidad. Este tipo de validación de certificado de CA ocurre cada vez que un usuario navega por un sitio web protegido con Secure Sockets Layer. Al validar el certificado del servidor web, el navegador también verifica la firma de la CA emisora. Esta verificación generalmente pasa porque los sitios web públicos tienden a tener certificados de CA de una de las CA raíz de confianza que se configuran de manera predeterminada en cada sistema operativo.

La importancia de los certificados raíz de confianza

Los certificados de CA de las autoridades de certificación de raíz confiables son esenciales para los servidores públicos, como los sitios de comercio electrónico, pero muchas compañías prefieren usar su propia CA para emitir certificados para correo electrónico corporativo, web, VPN y otros servidores que no están destinados al uso público. Las aplicaciones que se ejecutan en iPads e iPhones pueden autenticar servidores corporativos utilizando certificados emitidos de forma privada que reciben instrucciones para confiar en ellos.

Una opción de alto riesgo es simplemente permitir que los usuarios seleccionen y acepten certificados de CA desconocidos. Sin embargo, al hacer tales excepciones, los usuarios pueden enamorarse de un certificado autofirmado y de aquellos emitidos por CA no confiables, exponiendo los dispositivos no solo una vez, sino para siempre, a una letanía de ataques de intermediarios.

Una opción mucho mejor es que TI agregue explícitamente un certificado CA confiable a los dispositivos de los empleados, configurando aplicaciones para reconocer y confiar en servidores que prueben su identidad utilizando los certificados CA de su compañía. De esta manera, TI puede permitir conexiones seguras a servidores confiables sin abrir la puerta de par en par.

Instalar certificado raíz en iPhone o iPad

Todos los iPads e iPhones de Apple admiten certificados X.509 con formato PKCS1, almacenados en archivos que terminan en .crt, .cer, .pem o .der. Puede usar estos certificados para identificar CA, servidores o usuarios individuales, y dispositivos. Así es como TI debe abordar la instalación de certificados de CA durante la autenticación de servidor web, correo electrónico, VPN o LAN inalámbrica (WLAN) empresarial:

Certificado de distribución por correo electrónico: El método menos seguro es simplemente enviar por correo electrónico sus certificados de CA de confianza a los empleados. Cualquier usuario que haga clic en este archivo adjunto iniciará un cuadro de diálogo Instalar perfil que advierte que el certificado de CA a punto de instalarse no es de confianza. Si el usuario hace clic en Instalar certificado raíz, se le advertirá que la autenticidad del tema no se puede verificar y que la instalación del perfil lo agregará a la lista de certificados de confianza en ese iPad o iPhone.

Al usar este método, aconseje a los usuarios que hagan una excepción única y nunca instalen el certificado raíz o cualquier otro certificado de CA, incluso si parecen ser del departamento de TI.

Certificado de distribución web: Dirija a los empleados a una página web donde esté publicado su certificado de CA. Cualquier usuario que haga clic en la URL del archivo del certificado abrirá un cuadro de diálogo similar al descrito anteriormente. Aunque este método también es vulnerable a la suplantación de identidad (phishing), puede fortalecerse al alojar el certificado de CA en un sitio web seguro, y puede aconsejar a los usuarios que se aseguren de que lleguen al sitio web legítimo antes de descargar su certificado, iniciando sesión en un portal web corporativo primero, para ejemplo.

Perfiles de configuración: Un método más automatizado y más fuerte para agregar certificados de CA es usar perfiles de configuración de iOS. Los perfiles de configuración son archivos que entregan configuraciones a dispositivos iOS. Cada perfil consta de cargas útiles con formato XML, que incluyen los certificados y la configuración de las aplicaciones que usan esos certificados. No importa cómo se implementen los perfiles, su contenido de carga útil XML tiene el mismo formato.

Hay tres tipos de cargas útiles de perfil que llevan configuraciones de certificado: cargas útiles de Exchange, que se utilizan para configurar el acceso al correo electrónico protegido con seguridad de la capa de transporte (TLS); cargas de VPN de seguridad de protocolo de internet, que son para configurar el acceso a VPN autenticados por certificado; y cargas útiles de Wi-Fi, que se utilizan para configurar el acceso WLAN autenticado mediante el protocolo de autenticación extensible.

También se puede incluir una lista de nombres de servidores de confianza TLS para indicar a los dispositivos iOS específicamente en qué servidores WLAN deben confiar, y se puede incluir «allowUntrustedTLSPrompt» en los perfiles para evitar que los usuarios acepten conexiones a servidores HTTPS no confiables.

Protocolo simple de inscripción de certificados (SCEP): Otro método escalable y robusto para instalar certificados raíz es SCEP. Los dispositivos iOS de Apple pueden usar SCEP para solicitar de forma remota certificados de la CA de su empresa para la autenticación posterior de dispositivos y usuarios, incluida la inscripción en la gestión de dispositivos móviles (MDM) de su empresa, la gestión de la movilidad empresarial o el servidor de gestión de punto final unificado o la plataforma en la nube.

Puede asociar cualquier certificado obtenido a través de SCEP con las cargas útiles de configuración de Exchange, VPN o Wi-Fi descritas anteriormente, y se realiza mediante la inclusión de las cargas útiles de SCEP en los perfiles de configuración para recuperar certificados de clientes de los servidores SCEP. Una carga útil de SCEP incluye la URL del servidor SCEP de su empresa, junto con cualquier valor opcional, como el nombre de la CA y el nombre del sujeto X.500 del cliente.

Una vez que se agrega un certificado de CA a un iPhone o iPad, MDM o los propios usuarios pueden eliminarlo en cualquier momento. Apple iOS también utiliza el Protocolo de estado de certificado en línea (OCSP) para verificar la posible revocación de certificados habilitados para OCSP. Las organizaciones que tienen la intención de emitir certificados de su propia CA deben considerar apoyar a OCSP para la gestión continua de las relaciones de confianza.