Introduction à la gestion des certificats pour les appareils Apple
Les appareils Apple prennent en charge les certificats numériques, offrant ainsi à votre organisation un accès sécurisé et simplifié aux services d’entreprise. Les certificats peuvent être utilisés de bien des façons. Par exemple, le navigateur Safari peut vérifier la validité d’un certificat numérique X.509 et établir une session sécurisée avec chiffrement AES jusqu’à 256 bits. Cela comprend la vérification que l’identité du site est légitime et que la communication avec le site Web est protégée pour éviter toute interception de données personnelles ou confidentielles. Les certificats peuvent également être utilisés pour garantir l’identité de l’auteur ou du « signataire » et chiffrer des courriels, des profils de configuration et des communications réseau.
Utilisation des certificats avec les appareils Apple
Les appareils Apple comportent un nombre de certificats racines préinstallés de la part de différentes autorités de certification, et iOS, iPadOS, macOS et visionOS valident la confiance de ces certificats racines. Ces certificats numériques peuvent être utilisés pour identifier en toute sécurité un client ou serveur et chiffrer la communication entre eux à l’aide de paires de clés publiques et privées. Un certificat contient une clé publique, des informations sur le client (ou serveur) et il est signé (vérifié) par une autorité de certification.
Si iOS, iPadOS, macOS ou visionOS ne peut pas valider la chaîne de confiance de l’autorité de certification signataire, le service rencontre une erreur. Un certificat auto-signé ne peut pas être vérifié sans l’intervention de l’utilisateur. Pour en savoir plus, consultez l’article de l’assistance Apple Liste des certificats racines de confiance offerts sous iOS 17, iPadOS 17, macOS 14, tvOS 17 et watchOS 10.
Les iPhone, les iPad et les Mac peuvent actualiser les certificats par l’entremise du réseau sans fil (et par Ethernet pour les Mac) au cas où l’un ou l’autre des certificats racines préinstallés serait compromis. Vous pouvez désactiver cette fonctionnalité en utilisant la restriction de gestion des appareils mobiles (GAM) « Autoriser les mises à jour automatiques des réglages de confiance des certificats » qui empêche les mises à jour de certificat par réseau filaire ou sans fil.
Types d’identités pris en charge
Un certificat et la clé privée associée sont connus en tant qu’identité. Les certificats peuvent être distribués librement, mais les identités doivent être gardées en sécurité. Le certificat librement distribué, en particulier sa clé publique, est utilisé pour le chiffrement qui ne peut être déchiffré que par la clé privée correspondante. La clé privée d’une identité est stockée sous la forme d’un certificat d’identité PKCS12, chiffrée à l’aide d’une autre clé protégée par une phrase secrète. Une identité peut être utilisée pour authentification (telle qie 802.1X EAP--TLS), la connexion ou le chiffrement (tel que S/MIME).
Les formats de certificats et d’identités pris en charge par les appareils Apple sont :
Certificat : .cer, .crt, .der, certificats X.509 avec clés RSA
Identité : .pfx, .p12
Certificats de confiance
Si un certificat a été délivré par une autorité de certification dont la racine ne figure pas dans la liste des certificats racines de confiance, iOS, iPadOS, macOS et visionOS n’approuveront pas le certificat. C’est souvent le cas pour les autorités de certification d’entreprise. Pour certifier la fiabilité, utilisez la méthode décrite dans la section Déploiement de certificats. Cela permet de définir un point d’ancrage fiable pour le certificat en cours de déploiement. Pour les infrastructures de clés publiques à plusieurs niveaux, il peut être nécessaire de certifier la fiabilité, non seulement avec le certificat racine, mais également avec tous les intermédiaires de la chaîne. Souvent, la fiabilité de l’entreprise est configurée dans un profil de configuration unique qui peut être mis à jour, le cas échéant, par votre solution de GAM, sans affecter d’autres services sur l’appareil.
Certificats racines sur les iPhone, iPad et Apple Vision Pro
Les certificats racines installés manuellement sur un iPhone, iPad ou Apple Vision Pro supervisé par le biais d’un profil afficheront l’avertissement suivant : « L’installation du certificat “nom du certificat” l’ajoutera à la liste des certificats approuvés sur votre iPhone ou iPad. Ce certificat n’est pas considéré comme étant fiable tant que vous ne l’habilitez pas dans les réglages des certificats de confiance. »
L’utilisateur peut ensuite approuver le certificat sur l’appareil en accédant à Réglages > Général > Informations > Réglages de confiance des certificats.
Remarque : Les certificats racines installés par une solution GAM ou sur des appareils supervisés annulent l’option de modification des réglages de confiance.
Certificats racines sur Mac
Les certificats installés manuellement par le biais d’un profil de configuration doivent faire l’objet d’une action supplémentaire pour terminer l’installation. Une fois le profil ajouté, l’utilisateur peut naviguer dans Réglages > Général > Profils, puis sélectionner le profil sous Téléchargé.
L’utilisateur peut alors revoir les détails, annuler ou poursuivre en cliquant sur Installer. L’utilisateur devra peut-être fournir un nom d’utilisateur et un mot de passe d’administrateur local.
Remarque : Sous macOS 13 ou une version ultérieure, par défaut, les certificats racine installés manuellement avec un profil de configuration ne sont pas marqués comme fiables pour TLS. Si nécessaire, l’app Trousseaux d’accès peut être utilisée pour activer la fiabilité TLS. Les certificats racines installés par une solution de GAM ou sur des appareils supervisés annulent l’option de modification des réglages de confiance et sont fiables pour une utilisation avec TLS.
Certificats intermédiaires sur Mac
Les certificats intermédiaires sont émis et signés par le certificat racine « Autorités de certification » et peuvent être gérés sur un Mac au moyen de l’app Trousseaux d’accès. Ces certificats intermédiaires ont une date d’expiration plus courte que celle de la plupart des certificats racines et sont utilisés par les organisations pour que les navigateurs Web puissent faire confiance aux sites Web associés à un certificat intermédiaire. Les utilisateurs peuvent trouver les certificats intermédiaires expirés en consultant le trousseau système dans l’app Trousseaux d’accès.
Certificats S/MIME sur Mac
Si un utilisateur supprime tout certificat S/MIME de son trousseau, il ne pourra plus lire les courriels qui ont été chiffrés au moyen de ce certificat.