Configurer la fiabilité des certificats pour les authentifications 802.1X sous iOS et macOS
Découvrez comment configurer les propriétés des certificats de confiance et des noms de serveurs approuvés afin de protéger votre réseau.
Les réseaux 802.1X peuvent utiliser un certificat côté serveur pour établir un canal de communication TLS sécurisé entre le client et le serveur d’authentification. Le client s’assure que le certificat du serveur est approuvé avant de poursuivre le processus d’authentification. Si vous ne configurez pas correctement vos réglages de fiabilité des certificats dans un profil de configuration, les utilisateurs voient s’afficher une boîte de dialogue de fiabilité de certificat lorsqu’ils se connectent à votre réseau 802.1X protégé.
Cette boîte de dialogue les invite à vérifier que les informations de la chaîne de certificat du serveur RADIUS sont authentiques. Si un utilisateur essaie sans le savoir de rejoindre un réseau non fiable prétendant être le vôtre, il peut cliquer sur cette boîte de dialogue non valide. Ceci peut se produire s’il ne sait pas comment vérifier que les informations sont authentiques. Si l’utilisateur fournit ses informations d’identification valides sur le réseau non fiable, la sécurité de votre réseau peut s’en trouver compromise. Si vous ne configurez pas la fiabilité des certificats pour le profil de configuration 802.1X d’un mode système, l’authentification échoue car l’utilisateur ne peut pas être invité à accorder une confiance manuelle à la chaîne de certificat du serveur.
Configurer des certificats de confiance dans un profil de configuration
Identifiez la chaîne de certificat que votre serveur RADIUS présente lorsque des clients essaient de s’authentifier. Il peut s’agir du certificat de votre serveur RADIUS. Il peut également s’agit d’un certificat intermédiaire ou racine ayant émis le certificat du serveur RADIUS.
Ajoutez les certificats que vous avez identifiés à l’entité Certificats du profil de configuration.
Dans la section Confiance de l’entité Réseau du profil de configuration, recherchez le certificat auquel vous souhaitez accorder votre confiance. Marquez-le ensuite en tant que certificat de confiance.
Par exemple, si vous possédez un seul serveur RADIUS au sein de votre environnement, accordez la confiance à ce certificat de serveur RADIUS ou au certificat qui l’a émis. Si vous possédez plusieurs serveurs RADIUS dont les certificats sont tous émis par le même certificat racine ou intermédiaire, accordez la confiance à ce certificat racine ou intermédiaire afin que tous vos serveurs RADIUS soient approuvés.
Ces réglages de fiabilité de certificat permettent également au mode d’ouverture de session et au mode système 802.1X de macOS de fonctionner.
Configurer des noms de serveurs approuvés dans un profil de configuration
Vous pouvez également configurer des noms de serveurs approuvés pour empêcher les utilisateurs d’être invités à faire confiance aux certificats du serveur RADIUS. Utilisez une valeur sensible à la casse correspondant au nom usuel des certificats de votre serveur RADIUS. La valeur peut également inclure un caractère générique permettant d’identifier plusieurs serveurs RADIUS au sein du même domaine. Pour plus d’informations, consultez le dictionnaire EAPClientConfiguration dans le guide de référence Apple Developer relatif aux profils de configuration.