Distribuer des certificats à des appareils Apple
Vous pouvez distribuer manuellement des certificats à des iPhone, iPad et Apple Vision Pro. Lorsqu’ils reçoivent un certificat, les utilisateurs peuvent en examiner le contenu, puis l’ajouter à leur appareil, en quelques touchers. Lorsqu’un certificat d’identité est installé, les utilisateurs sont invités à saisir le mot de passe qui le protège. Si l’authenticité d’un certificat ne peut être vérifiée, celui-ci est présenté comme non fiable et l’utilisateur peut décider s’il veut ou non l’installer sur l’appareil.
Distribuez manuellement des certificats à des ordinateurs Mac. Lorsque les utilisateurs reçoivent un certificat, ils cliquent deux fois dessus pour ouvrir « Trousseaux d’accès » et examiner le contenu. Si le certificat répond aux attentes, les utilisateurs sélectionnent le trousseau souhaité et cliquent sur le bouton Ajouter. La plupart des certificats utilisateur doivent être installés dans le trousseau de session. Lorsqu’un certificat d’identité est installé, les utilisateurs sont invités à saisir le mot de passe qui le protège. Si l’authenticité d’un certificat ne peut être vérifiée, celui-ci est présenté comme non fiable et l’utilisateur peut décider s’il veut ou non l’installer sur le Mac.
Certaines identités de certificats peuvent être renouvelées automatiquement sur les ordinateurs Mac.
Méthodes de déploiement de certificats à l’aide de données utiles MDM
Le tableau suivant présente les différentes données utiles pour le déploiement de certificats à l’aide de profils de configuration. Cela inclut les données utiles Certificat Active Directory, les données utiles Certificat (pour un certificat d’identité PKCS #12), les données utiles ACME (Automated Certificate Management Environment) et les données utiles SCEP (Simple Certificate Enrollment Protocol).
Données utiles | Systèmes d’exploitation et canaux pris en charge | Description | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Données utiles Certificat Active Directory | Appareil macOS Utilisateur de macOS | En configurant les données utiles de certificat Active Directory, macOS envoie une demande de signature de certificat directement à un serveur de services de certificats Active Directory fournissant des AC via un appel de procédure distante. Vous pouvez inscrire les identités des machines à l’aide des informations d’authentification de l’objet de l’ordinateur Mac dans Active Directory. Les utilisateurs peuvent envoyer leurs informations d’authentification dans le cadre du processus d’inscription pour créer des identités individuelles. Grâce à ces données utiles, les administrateurs disposent d’un meilleur contrôle de l’utilisation des clés privées et du modèle du certificat pour l’inscription. Comme avec SCEP, la clé privée reste sur l’appareil. | |||||||||
Données utiles ACME | iOS iPadOS Appareil iPad partagé Appareil macOS Utilisateur de macOS tvOS watchOS 10 visionOS 1.1 | L’appareil obtient des certificats auprès d’une AC pour les appareils Apple inscrits dans une solution MDM. Avec cette technique, la clé privée reste seulement sur l’appareil et peut accessoirement être liée à l’appareil par le matériel. | |||||||||
Données utiles Certificats (pour certificat d’identité PKCS #12) | iOS iPadOS Appareil iPad partagé Appareil macOS Utilisateur de macOS tvOS watchOS 10 visionOS 1.1 | Si l’identité est approvisionnée ailleurs que sur l’appareil pour le compte de l’utilisateur ou de l’appareil, elle peut être insérée dans un fichier PKCS #12 (.p12 ou .pfx) et protégée par mot de passe. Si les données utiles contiennent le mot de passe, l’identité peut être installée sans que celui-ci soit demandé à l’utilisateur. | |||||||||
Données utiles SCEP | iOS iPadOS Appareil iPad partagé Appareil macOS Utilisateur de macOS tvOS watchOS 10 visionOS 1.1 | L’appareil soumet la demande de signature de certificat directement à un serveur d’inscription. Avec cette technique, la clé privée reste seulement sur l’appareil. | |||||||||
Pour associer des services à une identité particulière, configurez un protocole ACME ou SCEP, ou des données utiles de certificat, puis configurez le service désiré dans le même profil de configuration. Par exemple, des données utiles SCEP peuvent être configurées afin d’approvisionner une identité pour l’appareil et, dans le même profil de configuration, des données utiles Wi-Fi peuvent être configurées pour le protocole WPA2 entreprise / EAP-TLS au moyen du certificat d’appareil résultant de l’inscription pour authentification du SCEP.
Pour associer des services à une identité particulière sous macOS, configurez des données utiles Certificat Active Directory, des données utiles ACME ou SCEP, ou des données utiles Certificats, puis configurez le service souhaité dans le même profil de configuration. Par exemple, vous pouvez configurer des données utiles Certificat Active Directory afin d’approvisionner une identité pour l’appareil et, dans le même profil de configuration, des données utiles Wi-Fi peuvent être configurées pour le protocole WPA2 entreprise EAP-TLS au moyen du certificat d’appareil résultant de l’inscription pour authentification des données utiles Certificat Active Directory.
Renouveler des certificats installés par des profils de configuration
Pour assurer un accès continu au service, les certificats déployés à l’aide d’une solution MDM doivent être renouvelés avant qu’ils n’expirent. Pour ce faire, les solutions MDM peuvent interroger les certificats installés, inspecter la date d’expiration et émettre un nouveau profil ou une nouvelle configuration au préalable.
Pour les certificats Active Directory, lorsque les identités du certificat sont déployées dans le cadre d’un profil d’appareil, le comportement par défaut est le renouvellement automatique sous macOS 13 ou ultérieur. Les administrateurs peuvent définir une préférence système afin de modifier ce comportement. Pour en savoir plus, consultez l’article Renouvellement automatique des certificats issus d’un profil de configuration de l’assistance Apple.
Installer des certificats via Mail ou Safari
Vous pouvez envoyer un certificat sous forme de pièce jointe à un e-mail ou héberger un certificat sur un site web sécurisé où les utilisateurs peuvent le télécharger sur leurs appareils Apple.
Supprimer et révoquer des certificats
Une solution MDM peut visualiser tous les certificats figurant sur un appareil et supprimer tout certificat installé.
Par ailleurs, le protocole OCSP (Online Certificate Status Protocol) est pris en charge et permet de vérifier le statut des certificats. Lorsqu’un certificat compatible OCSP est utilisé, iOS, iPadOS, macOS et visionOS le valident régulièrement pour s’assurer qu’il n’a pas été révoqué.
Pour révoquer les certificats à lʼaide dʼun profil de configuration, consultez la rubrique Réglages de données utiles MDM pour la révocation de certificats.
Pour supprimer manuellement un certificat installé sur iOS, iPadOS et visionOS 1.1 ou une version ultérieure, accédez à Réglages > Général > Gestion des appareils, sélectionnez un profil, touchez « Plus de détails », puis touchez le certificat pour le supprimer. Si vous supprimez un certificat nécessaire pour accéder à un compte ou à un réseau, l’iPhone, l’iPad ou l’Apple Vision Pro ne peut plus se connecter à ces services.
Pour supprimer manuellement un certificat installé sur macOS, lancez l’app Trousseaux d’accès, puis recherchez le certificat. Sélectionnez-le, puis supprimez-le du trousseau. Si vous supprimez un certificat nécessaire pour accéder à un compte ou à un réseau, le Mac ne peut plus se connecter à ces services.