Distribution de certificats aux appareils Apple
Distribuez manuellement des certificats à des iPhone, iPad et Apple Vision Pro. Lorsqu’ils reçoivent un certificat, les utilisateurs peuvent en examiner le contenu, puis l’ajouter à leur appareil, en quelques touchers. Lorsqu’un certificat d’identité est installé, les utilisateurs sont invités à saisir le mot de passe qui le protège. Si l’authenticité d’un certificat ne peut pas être vérifiée, celui-ci est présenté comme non fiable et l’utilisateur peut décider s’il veut ou non l’installer sur l’appareil.
Vous pouvez distribuer manuellement des certificats aux ordinateurs Mac. Lorsque les utilisateurs reçoivent un certificat, ils cliquent deux fois dessus pour ouvrir le Trousseaux d’accès et consulter son contenu. Si le certificat répond aux exigences, les utilisateurs sélectionnent le trousseau souhaité et cliquer sur Ajouter. La plupart des certificats d’utilisateur doivent être installés dans le trousseau de session. Lorsqu’un certificat d’identité est installé, les utilisateurs sont invités à saisir le mot de passe qui le protège. Si l’authenticité d’un certificat ne peut pas être vérifiée, celui-ci est présenté comme non fiable et l’utilisateur peut décider s’il veut ou non l’installer sur le Mac.
Certaines identités de certificats peuvent être renouvelées automatiquement sur les ordinateurs Mac.
Modes de déploiement de certificats au moyen d’entités de GAM
Le tableau suivant présente les différentes entités pour le déploiement de certificats au moyen de profils de configuration. Elles comprennent les entités Active Directory Certificate, Certificats (pour les certificats d’identité PKCS12), Automated Certificate Management Environment (ACME) et Simple Certificate Enrollment Protocol (SCEP).
Entité | Systèmes d’exploitation et canaux pris en charge | Description | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Entité Certificat Active Directory | Appareil macOS Utilisateur macOS | En configurant l’entité Certificat Active Directory, macOS place une demande de signature de certificat directement auprès du serveur des services de certificat Active Directory qui émet l’AC au moyen d’un appel de procédure à distance. Vous pouvez inscrire les identités de machine grâce aux informations d’identification de l’objet de l’ordinateur Mac dans Active Directory. Les utilisateurs peuvent indiquer leurs informations d’identification dans le cadre du processus d’inscription, afin de mettre à disposition leur identité individuelle. Grâce à cette entité, les administrateurs disposent d’un contrôle supplémentaire sur l’utilisation de la clé privée et sur le modèle de certificat dédié à l’inscription. Comme avec l’entité SCEP, la clé privée reste sur l’appareil. | |||||||||
Entité ACME | iOS iPadOS Appareil iPad partagé Appareil macOS Utilisateur macOS tvOS watchOS 10 visionOS 1.1 | L’appareil obtient les certificats auprès d’une autorité de certification pour les appareils Apple inscrits à une solution de GAM. Grâce à cette technique, la clé privée est conservée uniquement sur l’appareil et peut être facultativement être liée à l’appareil. | |||||||||
Entité Certificats (pour les certificats d’identité PKCS12) | iOS iPadOS Appareil iPad partagé Appareil macOS Utilisateur macOS tvOS watchOS 10 visionOS 1.1 | Si l’identité est fournie en dehors de l’appareil pour le compte de l’utilisateur ou de l’appareil, elle peut être indiquée dans un fichier PKCS #12 (.p12 ou .pfx) et protégée par un mot de passe. Si l’entité contient le mot de passe, l’identité peut être installée sans interaction de l’utilisateur. | |||||||||
Entité SCEP | iOS iPadOS Appareil iPad partagé Appareil macOS Utilisateur macOS tvOS watchOS 10 visionOS 1.1 | L’appareil place la demande de signature de certificat directement sur un serveur d’inscription. Grâce à cette technique, la clé privée est conservée uniquement sur l’appareil. | |||||||||
Afin d’associer des services à une identité particulière, configurez une entité ACME, SCEP ou Certificats, puis définissez le service souhaité dans le même profil de configuration. Par exemple, une entité SCEP peut être configurée pour fournir une identité pour l’appareil, alors que dans le même profil de configuration, une identité Wi-Fi peut être configurée pour WPA2 Entreprise/EAP-TLS utilisant le certificat d’appareil provenant de l’inscription SCEP pour l’authentification.
Pour associer les services à une identité particulière sous MacOS, configurez une entité Active Directory Certificate, ACME, SCEP ou Certificats, puis configurez le service désiré dans le même profil de configuration. Par exemple, vous pouvez configurer une entité Active Directory Certificate pour fournir une identité à l’appareil, alors que dans le même profil de configuration, une identité Wi-Fi peut être configurée pour WPA2 Enterprise/EAP-TLS utilisant le certificat d’appareil provenant de l’inscription Active Directory Certificate pour l’authentification.
Renouveler les certificats installés par les profils de configuration
Pour assurer l’accès continu au service, les certificats déployés au moyen d’une solution de GAM doivent être renouvelés avant leur expiration. Pour ce faire, les solutions de GAM peuvent interroger les certificats installés, vérifier les dates d’expiration et émettre de nouveaux profils ou de nouvelles configurations à l’avance.
Quant aux certificats Active Directory, lorsque les identités de certificat sont déployées dans un profil d’appareil, leur renouvellement s’effectue automatiquement par défaut sous macOS 13 ou une version ultérieure. Les administrateurs peuvent configurer un réglage système pour modifier ce comportement. Pour en savoir plus, consultez l’article de l’assistance Apple Renouvellement automatique des certificats issus d’un profil de configuration.
Installer des certificats à partir de Mail ou de Safari
Vous pouvez envoyer un certificat en pièce jointe d’un courriel ou l’héberger sur un site sécurisé à partir duquel les utilisateurs peuvent le télécharger sur leurs appareils Apple.
Supprimer et révoquer des certificats
Une solution de gestion d’appareils mobiles permet de visualiser tous les certificats figurant sur un appareil et de supprimer tout certificat installé.
Par ailleurs, le OCSP (protocole d’état de certificat en ligne) est pris en charge et permet de vérifier le statut des certificats. Lorsqu’un certificat compatible OCSP est utilisé, iOS, iPadOS, macOS et visionOS le valident régulièrement pour s’assurer qu’il n’a pas été révoqué.
Pour révoquer des certificats à l’aide d’un profil de configuration, consultez la rubrique Réglages de l’entité de GAM Révocation de certificats.
Pour supprimer manuellement un certificat installé sous iOS, iPadOS et visionOS 1.1, ou une version ultérieure, accédez à Réglages > Général > Gestion des appareils, sélectionnez un profil, touchez Plus de détails, puis touchez le certificat pour le supprimer. Si un utilisateur supprime un certificat nécessaire pour accéder à un compte ou à un réseau, l’iPhone, l’iPad ou Apple Vision Pro ne pourra plus se connecter à ces services.
Pour supprimer manuellement un certificat installé sous macOS, lancez l’app Trousseau d’accès, puis recherchez-le. Sélectionnez-le, puis supprimez-le du trousseau. Si un utilisateur supprime un certificat nécessaire pour accéder à un compte ou à un réseau, le Mac ne pourra plus se connecter à ces services.