Apple 设备支持数字证书和身份，从而使组织可以简便地访问企业服务。这些证书有多种用途。例如，Safari 浏览器可以检查 X.509 数字证书的有效性，并使用最多 256 位的 AES 加密建立安全会话。这包括确保网站的身份合法，且与网站的通信受到保护，从而避免个人或机密数据遭到拦截。证书还可用于保证作者或“签名者”身份的真实性，同时用于邮件、配置描述文件和网络通信的加密。

Apple 设备包含一系列预安装的根证书，它们来自不同的证书颁发机构 (CA)，同时 iOS、iPadOS、macOS 和 visionOS 会验证这些根证书的可信度。这些数字证书可用于安全地识别客户端或服务器，以及利用公用和专用密钥对加密它们之间的通信。证书包括公共密钥、客户端（或服务器）信息，并且由 CA 进行签名（验证）。

如果 iOS、iPadOS、macOS 或 visionOS 无法验证签名 CA 的信任链，服务将出错。自签名证书需要与用户交互才能验证。有关更多信息，请参阅 Apple 支持文章：iOS 17、iPadOS 17、macOS 14、Apple tvOS 17 和 watchOS 10 中可用受信任根证书的列表。

一旦任何预安装的根证书遭到破坏，iPhone、iPad 和 Mac 设备可通过无线方式（Mac 可通过以太网）更新证书。你可以使用移动设备管理 (MDM) 访问限制“允许自动更新证书信任设置”来停用此功能，以阻止通过无线或有线网络进行证书更新。

证书及其关联的专用密钥称为身份。证书可以自由分发，但身份必须安全地保存。自由分发的证书（特别是其公共密钥）用于加密，且仅能通过匹配的专用密钥进行解密。身份的专用密钥部分储存为 PKCS #12 身份证书 (.p12) 文件，并通过由密码短语所保护的另一个密钥进行加密。身份可用于认证（如 802.1X EAP-TLS）、签名或加密（如 S/MIME）。

Apple 设备支持的证书和身份格式包括：

证书：.cer、.crt、.der、带有 RSA 密钥的 X.509 证书

身份：.pfx、.p12

如果签发证书的 CA 的根不在可信根证书列表中，iOS、iPadOS、macOS 或 visionOS 将不会信任该证书。企业签发的 CA 经常遇到这种情况。若要建立信任，请采用证书部署中所述的方法。这会在被部署的证书上设定信任锚点。对于多级公共密钥基础结构而言，可能不仅需要与根证书建立信任，还需要与信任链中的任意中级证书建立信任。通常，企业信任在单个配置描述文件中配置，该配置描述文件可以根据需要通过 MDM 解决方案更新，同时不会影响设备上的其他服务。

通过描述文件在未被监督的 iPhone、iPad 或 Apple Vision Pro 上手动安装的根证书将显示以下警告：“若安装证书‘证书的名称’，此证书将被添加到 iPhone 或 iPad 上受信任证书的列表中。只有在‘证书信任设置’中启用，网站才会信任此证书。”

之后用户可以在设备上前往“设置”>“通用”>“关于本机”>“证书信任设置”来信任该证书。

【注】通过 MDM 解决方案安装的根证书或者在被监督的设备上安装的根证书会停用更改信任设置的选项。

通过配置描述文件手动安装的证书必须执行额外操作才能完成安装。描述文件添加后，用户可导航到“设置”>“通用”>“描述文件”，并在“已下载”下方选择描述文件。

然后用户可检查详细信息、取消或点按“安装”以继续。用户可能需要提供本地管理员的用户名和密码。

【注】在 macOS 13 或更高版本中，使用配置描述文件手动安装的根证书不会默认标记为受 TLS 信任。如有需要，“钥匙串访问” App 可用于启用 TLS 信任。通过 MDM 解决方案安装或在被监督的设备上安装的根证书会停用更改信任设置的选项，并被信任以与 TLS 配合使用。

中间证书由证书颁发机构的根证书颁发并签名，可在 Mac 上使用“钥匙串访问” App 进行管理。这类中间证书的有效期比大多数根证书的更短且由组织使用，所以网页浏览器信任与中间证书关联的网站。用户可以通过在“钥匙串访问”中查看系统钥匙串来查找过期的中间证书。

如果用户从其钥匙串中删除了任何 S/MIME 证书，则无法再阅读之前使用这些证书加密的电子邮件。