Distribuer des certificats à des appareils Apple
Distribuez manuellement des certificats à des iPhone et des iPad. Lorsqu’ils reçoivent un certificat, les utilisateurs peuvent en examiner le contenu, puis l’ajouter à leur appareil, en quelques touchers. Lorsqu’un certificat d’identité est installé, les utilisateurs sont invités à saisir le mot de passe qui le protège. Si l’authenticité d’un certificat ne peut être vérifiée, celui-ci est présenté comme non fiable et l’utilisateur peut décider s’il veut ou non l’installer sur l’appareil.
Distribuez manuellement des certificats à des ordinateurs Mac. Lorsque les utilisateurs reçoivent un certificat, ils cliquent deux fois dessus pour ouvrir « Trousseaux d’accès » et examiner le contenu. Si le certificat répond aux attentes, les utilisateurs sélectionnent le trousseau souhaité et cliquent sur le bouton Ajouter. La plupart des certificats utilisateur doivent être installés dans le trousseau de session. Lorsqu’un certificat d’identité est installé, les utilisateurs sont invités à saisir le mot de passe qui le protège. Si l’authenticité d’un certificat ne peut être vérifiée, celui-ci est présenté comme non fiable et l’utilisateur peut décider s’il veut ou non l’installer sur le Mac.
Certaines identités de certificats peuvent être renouvelées automatiquement sur les ordinateurs Mac. Pour en savoir plus, consultez l’article Renouvellement automatique des certificats issus d’un profil de configuration de l’assistance Apple.
Installer des certificats à l’aide de profils de configuration
iOS, iPadOS et macOS prennent en charge ces méthodes permettant de déployer des identités de certificat à l’aide de profils de configuration :
Certificat d’identité PKCS #12 : Si l’identité est approvisionnée ailleurs que sur l’appareil pour le compte de l’utilisateur ou de l’appareil, elle peut être insérée dans un fichier PKCS #12 (.p12 ou .pfx) et protégée par mot de passe. Si les données utiles contiennent le mot de passe, l’identité peut être installée sans que celui-ci soit demandé à l’utilisateur.
Environnement de gestion automatique de certificats (ACME) : L’appareil obtient des certificats auprès d’une autorité de certification (AC) pour les appareils Apple inscrits dans une solution de gestion des appareils mobiles (MDM). Cela requiert une attestation d’appareil géré et une installation réalisée par une solution MDM.
Protocole SCEP (Simple Certificate Enrollment Protocol) : L’appareil soumet la demande de signature de certificat directement à un serveur d’inscription. Avec cette technique, la clé privée reste seulement sur l’appareil.
Certificat Active Directory (macOS) : En configurant les données utiles de certificat Active Directory, macOS envoie une demande de signature de certificat (CSR) directement à un serveur de services de certificats Active Directory fournissant des AC via RPC (Remote Procedure Call). Vous pouvez inscrire les identités des machines à l’aide des informations d’authentification de l’objet de l’ordinateur Mac dans Active Directory. Les utilisateurs peuvent envoyer leurs informations d’authentification dans le cadre du processus d’inscription pour créer des identités individuelles. Grâce aux données utiles ADCertificate, les administrateurs disposent d’un meilleur contrôle de l’utilisation des clés privées et du modèle du certificat pour l’inscription. Comme avec SCEP, la clé privée reste sur l’appareil.
Pour associer des services à une identité particulière sous iOS et iPadOS, configurez un protocole SCEP ou des données utiles de certificat, puis configurez le service désiré dans le même profil de configuration. Par exemple, des données utiles SCEP peuvent être configurées afin d’approvisionner une identité pour l’appareil et, dans le même profil de configuration, des données utiles Wi-Fi peuvent être configurées pour le protocole WPA2 entreprise / EAP-TLS au moyen du certificat d’appareil résultant de l’inscription pour authentification du SCEP.
Pour associer des services à une identité particulière sous macOS, configurez des données utiles Certificat Active Directory, des données utiles SCEP ou des données utiles Certificats, puis configurez le service souhaité dans le même profil de configuration. Par exemple, vous pouvez configurer des données utiles ADCertificate afin d’approvisionner une identité pour l’appareil et, dans le même profil de configuration, des données utiles Wi-Fi peuvent être configurées pour le protocole WPA2 entreprise EAP-TLS au moyen du certificat d’appareil résultant de l’inscription pour authentification des données utiles ADCertificate.
Installer des certificats via Mail ou Safari
Vous pouvez envoyer un certificat sous forme de pièce jointe à un e-mail ou héberger un certificat sur un site web sécurisé où les utilisateurs peuvent le télécharger sur leurs appareils Apple.
Supprimer et révoquer des certificats
Une solution de gestion des appareils mobiles (MDM) peut visualiser tous les certificats figurant sur un appareil et supprimer tout certificat installé.
Par ailleurs, le protocole OCSP (Online Certificate Status Protocol) est pris en charge et permet de vérifier le statut des certificats. Lorsqu’un certificat compatible OCSP est utilisé, iOS, iPadOS et macOS le valident régulièrement pour s’assurer qu’il n’a pas été révoqué.
Pour révoquer les certificats à lʼaide dʼun profil de configuration, consultez la rubrique Réglages de données utiles MDM pour la révocation de certificats.
Pour supprimer manuellement un certificat installé sur iOS et iPadOS, accédez à Réglages > Général > Gestion des appareils, sélectionnez un profil, touchez Plus de détails, puis touchez le certificat pour le supprimer. Si vous supprimez un certificat nécessaire pour accéder à un compte ou à un réseau, l’iPhone ou l’iPad ne peut plus se connecter à ces services.
Pour supprimer manuellement un certificat installé sur macOS, lancez l’app Trousseaux d’accès, puis recherchez le certificat. Sélectionnez-le, puis supprimez-le du trousseau. Si vous supprimez un certificat nécessaire pour accéder à un compte ou à un réseau, le Mac ne peut plus se connecter à ces services.