Introduction à la gestion des certificats pour les appareils Apple
Les appareils Apple prennent en charge les certificats et les identités numériques, offrant ainsi à votre organisation un accès simplifié aux services d’entreprise. Ces certificats peuvent être utilisés de bien des façons. Par exemple, le navigateur Safari peut vérifier la validité d’un certificat numérique X.509 et établir une session sécurisée avec un chiffrement AES jusqu’à 256 bits. Cela comprend la vérification que l’identité du site est légitime et que la communication avec le site web est protégée pour éviter toute interception de données personnelles ou confidentielles. Les certificats peuvent être utilisés pour garantir l’identité de l’auteur, ou « signataire », et pour chiffrer des e-mails, des profils de configuration et des communications réseau.
Utilisation de certificats avec des appareils Apple
Les appareils Apple incluent différents certificats racine préinstallés, délivrés par différentes autorités de certification (AC) et iOS, iPadOS et macOS valident la fiabilité de ces certificats racine. Ces certificats numériques peuvent être utilisés pour identifier un client ou un serveur de manière sécurisée, et pour chiffrer la communication entre l’un et l’autre à l’aide de la paire de clés publique et privée. Un certificat contient une clé publique, des informations sur le client (ou serveur) et est signé (vérifié) par une AC.
Si iOS, iPadOS ou macOS ne parvient pas à valider la chaîne de confiance de l’AC signataire, le service rencontre une erreur. Un certificat auto-signé ne peut pas être vérifié sans intervention de l’utilisateur. Pour en savoir plus, consultez l’article Liste des certificats racine de confiance disponibles sous iOS 16, iPadOS 16, macOS 13, tvOS 16 et watchOS 9 de l’assistance Apple.
Les iPhone, les iPad et les ordinateurs Mac peuvent actualiser sans fil (et via Ethernet pour Mac) les certificats au cas où l’un ou l’autre des certificats racine préinstallés serait compromis. Vous pouvez désactiver cette fonctionnalité à l’aide de la restriction de gestion des appareils mobiles (MDM) « Autor. les m. à j. autom. des réglages de confiance des certificats », qui empêche les mises à jour des certificats sur les réseaux sans fil ou filaires.
Types d’identité pris en charge
Un certificat et sa clé privée associée sont connus sous le nom d’identité. Vous pouvez distribuer librement les certificats, mais vous devez conserver les identités en lieu sûr. Un certificat distribué librement, et plus particulièrement sa clé privée, sont utilisés pour effectuer des chiffrements ne pouvant être déchiffrés qu’à l’aide de la clé privée correspondante. La clé privée d’une identité est stockée sous forme de certificat d’identité PKCS #12 dans un fichier (.p12), et chiffrée à l’aide d’une autre clé protégée à l’aide d’une phrase secrète. Une identité peut être utilisée dans un but d’authentification (ex. : 802.1X EAP-TLS), de signature ou de chiffrement (ex. : S/MIME).
Les certificats et les formats d’identité pris en charge sur les appareils Apple sont les suivants :
Certificat : Certificats .cer, .crt, .der et X.509 avec clés RSA
Identité : .pfx, .p12
Certificats de confiance
Si un certificat a été émis par une AC dont la racine ne figure pas dans la liste des certificats racine de confiance, iOS, iPadOS et macOS ne feront pas confiance à ce certificat. Le cas se présente souvent avec les autorités émettrices de certificats appartenant à des entreprises. Pour établir une relation de confiance, utilisez la méthode décrite dans la section Déploiement de certificats. Cela donnera un point d’ancrage fiable au certificat déployé. Quant aux infrastructures à clés publiques multiniveau, il peut être nécessaire d’établir une relation de confiance non seulement avec le certificat racine, mais aussi avec tous les certificats intermédiaires de la chaîne. Souvent, la relation de confiance avec l’entreprise est configurée dans un seul profil de configuration qui peut, si besoin, être mis à jour avec votre solution MDM sans incidence sur les autres services de l’appareil.
Certificats racine sur iPhone et iPad
Les certificats racine installés manuellement sur un iPhone et iPad non supervisé par l’intermédiaire d’un profil affichent l’avertissement suivant : « L’installation du certificat “nom du certificat” ajoutera ce dernier à la liste des certificats fiables sur votre iPhone ou iPad. Ce certificat ne sera pas approuvé pour les sites web tant que vous ne l’aurez pas activé dans les réglages des certificats de confiance ».
L’utilisateur peut alors approuver le certificat sur l’appareil en accédant à Réglages > Général > Informations > Réglages des certificats.
Remarque : les certificats racine installés par une solution MDM ou sur des appareils supervisés désactivent l’option de modification des réglages de confiance.
Certificats racine sur Mac
Les certificats installés manuellement par l’intermédiaire d’un profil de configuration nécessitent une action supplémentaire pour terminer l’installation. Une fois le profil ajouté, l’utilisateur peut le sélectionner en accédant à Réglages > Général > Profils > Téléchargé.
Il peut ensuite consulter les détails de l’installation, l’annuler ou la poursuivre en cliquant sur Installer. Il peut également être amené à fournir le nom et le mot de passe d’un administrateur local.
Remarque : à partir de macOS 13, les certificats racine installés manuellement au moyen d’un profil de configuration ne sont pas marqués comme fiables pour le protocole TLS. Au besoin, leur approbation par le protocole TLS peut être obtenue par le biais de l’app Trousseaux d’accès. Les certificats racine installés par une solution MDM ou sur des appareils supervisés désactivent l’option de modification des réglages de confiance et peuvent être utilisés avec le protocole TLS.