Introduction à la gestion des certificats pour les appareils Apple
Les appareils Apple prennent en charge les certificats et les identités numériques, offrant ainsi à votre organisation un accès simplifié aux services d’entreprise. Ces certificats peuvent être utilisés de bien des façons. Par exemple, le navigateur Safari peut vérifier la validité d’un certificat numérique X.509 et établir une session sécurisée avec un chiffrement AES jusqu’à 256 bits. Cela comprend la vérification que l’identité du site est légitime et que la communication avec le site web est protégée pour éviter toute interception de données personnelles ou confidentielles. Les certificats peuvent être utilisés pour garantir l’identité de l’auteur, ou « signataire », et pour chiffrer des e-mails, des profils de configuration et des communications réseau.
Utilisation de certificats avec des appareils Apple
Les appareils Apple incluent différents certificats racine préinstallés, délivrés par différentes autorités de certification (AC) et iOS, iPadOS, macOS et visionOS valident la fiabilité de ces certificats racine. Ces certificats numériques peuvent être utilisés pour identifier un client ou un serveur de manière sécurisée, et pour chiffrer la communication entre l’un et l’autre à l’aide de la paire de clés publique et privée. Un certificat contient une clé publique, des informations sur le client (ou serveur) et est signé (vérifié) par une AC.
Si iOS, iPadOS, macOS ou visionOS ne parvient pas à valider la chaîne de confiance de l’AC signataire, le service rencontre une erreur. Un certificat auto-signé ne peut pas être vérifié sans intervention de l’utilisateur. Pour en savoir plus, consultez l’article Liste des certificats racine de confiance disponibles sous iOS 17, iPadOS 17, macOS 14, tvOS 17 et watchOS 10 de l’assistance Apple.
Les iPhone, iPad et Mac peuvent actualiser sans fil (et via Ethernet pour le Mac) les certificats au cas où l’un ou l’autre des certificats racine préinstallés serait compromis. Vous pouvez désactiver cette fonctionnalité à l’aide de la restriction de gestion des appareils mobiles (MDM) « Autor. les m. à j. autom. des réglages de confiance des certificats », qui empêche les mises à jour des certificats sur les réseaux sans fil ou filaires.
Types d’identité pris en charge
Un certificat et sa clé privée associée sont connus sous le nom d’identité. Vous pouvez distribuer librement les certificats, mais vous devez conserver les identités en lieu sûr. Un certificat distribué librement, et plus particulièrement sa clé privée, sont utilisés pour effectuer des chiffrements ne pouvant être déchiffrés qu’à l’aide de la clé privée correspondante. La clé privée d’une identité est stockée sous forme de certificat d’identité PKCS #12 dans un fichier (.p12), et chiffrée à l’aide d’une autre clé protégée à l’aide d’une phrase secrète. Une identité peut être utilisée dans un but d’authentification (ex. : 802.1X EAP-TLS), de signature ou de chiffrement (ex. : S/MIME).
Les certificats et les formats d’identité pris en charge sur les appareils Apple sont les suivants :
Certificat : Certificats .cer, .crt, .der et X.509 avec clés RSA
Identité : .pfx, .p12
Certificats de confiance
Si un certificat a été émis par une AC dont la racine ne figure pas dans la liste des certificats racine de confiance, iOS, iPadOS, macOS ou visionOS ne feront pas confiance à ce certificat. Le cas se présente souvent avec les autorités émettrices de certificats appartenant à des entreprises. Pour établir une relation de confiance, utilisez la méthode décrite dans la section Déploiement de certificats. Cela donnera un point d’ancrage fiable au certificat déployé. Quant aux infrastructures à clés publiques multiniveau, il peut être nécessaire d’établir une relation de confiance non seulement avec le certificat racine, mais aussi avec tous les certificats intermédiaires de la chaîne. Souvent, la relation de confiance avec l’entreprise est configurée dans un seul profil de configuration qui peut, si besoin, être mis à jour avec votre solution MDM sans incidence sur les autres services de l’appareil.
Certificats racine sur l’iPhone, l’iPad et l’Apple Vision Pro
Les certificats racine installés manuellement sur un iPhone, iPad ou Apple Vision Pro non supervisé par l’intermédiaire d’un profil affichent l’avertissement suivant : « L’installation du certificat “nom du certificat” ajoutera ce dernier à la liste des certificats fiables sur votre iPhone ou iPad. Ce certificat ne sera pas approuvé pour les sites web tant que vous ne l’aurez pas activé dans les réglages des certificats de confiance ».
L’utilisateur peut alors approuver le certificat sur l’appareil en accédant à Réglages > Général > Informations > Réglages des certificats.
Remarque : les certificats racine installés par une solution MDM ou sur des appareils supervisés désactivent l’option de modification des réglages de confiance.
Certificats racine sur Mac
Les certificats installés manuellement par l’intermédiaire d’un profil de configuration nécessitent une action supplémentaire pour terminer l’installation. Une fois le profil ajouté, l’utilisateur peut le sélectionner en accédant à Réglages > Général > Profils > Téléchargé.
Il peut ensuite consulter les détails de l’installation, l’annuler ou la poursuivre en cliquant sur Installer. Il peut également être amené à fournir le nom et le mot de passe d’un administrateur local.
Remarque : par défaut dans macOS 13 ou ultérieur, les certificats racine installés manuellement au moyen d’un profil de configuration ne sont pas marqués comme fiables pour le protocole TLS. Au besoin, leur approbation par le protocole TLS peut être obtenue par le biais de l’app Trousseaux d’accès. Les certificats racine installés par une solution MDM ou sur des appareils supervisés désactivent l’option de modification des réglages de confiance et peuvent être utilisés avec le protocole TLS.
Certificats intermédiaires sur Mac
Les certificats intermédiaires sont émis et signés par le certificat racine des autorités de certification et ils peuvent être gérés sur un Mac à l’aide de l’app Trousseaux d’accès. Ces certificats intermédiaires ont un délai d’expiration plus court que la plupart des certificats racines et sont utilisés par les organisations pour faire en sorte que les navigateurs web se fient aux sites web associés à un certificat intermédiaire. Les utilisateurs peuvent localiser les certificats intermédiaires expirés en consultant le trousseau système dans Trousseaux d’accès.
Certificats S/MIME sur Mac
Si un utilisateur supprime un certificat S/MIME de son trousseau, il ne peut plus lire les précédents e-mails qui ont été chiffrés à l’aide de ce certificat.