-- Apple Wallet Pass-Konfiguration.
-- ====================================================================
-- PKPass-Files werden serverseitig generiert und signiert. Dafuer
-- braucht's pro Mandant:
--   - Pass Type Certificate (.p12 von Apple Developer Portal, enthaelt
--     Public + Private Key) → als Base64-String gespeichert.
--   - Passphrase fuer den Private Key im .p12.
--   - Pass Type Identifier (Reverse-Domain, registriert im Dev Portal).
--   - Team Identifier (10-stellig, im Dev Portal sichtbar).
--
-- Apple WWDR Intermediate-Cert ist oeffentlich und wird mit dem
-- Container ausgeliefert (lib/wallet/wwdr.ts) — keine DB-Spalte noetig.
--
-- Wenn alle vier Felder gesetzt sind, schaltet die Visitenkarte den
-- "Zur Apple Wallet hinzufuegen"-Button frei.

alter table public.site_settings
  add column if not exists apple_pass_cert_p12 text,
  add column if not exists apple_pass_passphrase text,
  add column if not exists apple_pass_type_id text,
  add column if not exists apple_team_id text;

-- Hinweis: apple_pass_cert_p12 enthaelt den Private Key. Die Spalte ist
-- nur ueber Service-Role lesbar (RLS auf site_settings macht das ohnehin
-- so — anon-Reads gehen ueber explizite Spalten-Selects in den Helpers).