iOS : configurer des certificats d'autorité de certification sur les iPads et iPhones

Qu'est-ce qu'un certificat AC ?

Le certificat X.509 est une accréditation électronique utilisée par des appareils (par exemple, des serveurs ou des clients) pour s'authentifier. Chaque certificat relie l'identité du sujet (par exemple, le nom d'hôte ou l'adresse IP du serveur) à une paire de clés publiques ou privées.

L'identité du sujet et la clé publique sont intégrées au certificat, accompagnées du nom et de la signature de l'autorité de certification (AC).

Les AC sont chargées de confirmer l'identité du sujet avant d'émettre les certificats demandés. Elles sont également responsables du renouvellement et, le cas échéant, de la révocation des certificats. Les AC fonctionnent ainsi comme des bureaux de délivrance de passeports : elles fournissent des « papiers officiels » à des personnes autorisées qui ont prouvé leur identité.

Une fois le passeport fourni à la personne (ou le certificat fourni au serveur), cette accréditation peut être présentée accompagnée d'une signature pour preuve d'identité. Et ce type de validation par certificat AC se produit à chaque fois qu'un utilisateur navigue sur un site Web protégé par la technologie SSL (Secure-Sockets-Layer).

Lors de la validation du certificat du serveur Web, le navigateur contrôle également la signature de l'AC émettrice. Le plus souvent, ce contrôle aboutit car les sites Web publics se procurent généralement leurs certificats AC auprès d'autorités de certification « racine » de confiance, configurées par défaut au niveau de chaque système d'exploitation.

De l'importance des certificats AC de confiance

Les certificats AC émis par des AC racine de confiance sont essentiels pour les serveurs publics, tels que les sites de commerce électronique.

Toutefois, nombre d'entreprises préfèrent utiliser leurs propres AC pour émettre des certificats à l'intention des serveurs non destinés à un usage public, notamment la messagerie, le Web ou le réseau privé virtuel (VPN, Virtual Private Network) de l'entreprise.

Les applications qui s'exécutent sur des iPad et des iPhone peuvent authentifier des serveurs d'entreprise au moyen de certificats émis de manière privée qui ont pour instructions d'approuver ces serveurs.

Une option particulièrement risquée consiste à laisser les utilisateurs purement et simplement accepter des certificats AC inconnus. Autoriser de telles exceptions conduirait les utilisateurs à se laisser tenter par des certificats auto-signés ou par ceux d'AC non dignes de confiance, exposant alors leurs appareils non pas une fois mais ad vitam aeternam à un cortège d'attaques HDM, ou attaques de l'homme du milieu.

Le service informatique sera bien plus avisé d'ajouter explicitement un certificat AC aux appareils des employés en configurant les applications de sorte qu'elles identifient et approuvent les serveurs qui valident leur identité au moyen des certificats AC de l'entreprise. Ainsi, le service informatique est en mesure de sécuriser des connexions à des serveurs de confiance sans ouvrir les portes en grand.

Ajout de certificats AC aux iPad et iPhone

Tous les iPad et iPhone prennent en charge les certificats X.509 au format PKCS1 enregistrés dans des fichiers d'extension .crt, .cer, .pem ou .der. Ces certificats vous permettent d'identifier des AC, des serveurs, voire des appareils et des utilisateurs individuels. Voici comment ajouter des certificats AC utilisés pour l'authentification d'un serveur d'entreprise de messagerie, Web, VPN ou WLAN (Wireless LAN) :

Distribution par courriel : La méthode la moins sécurisée consiste à transmettre vos certificats AC de confiance à vos employés par un simple courriel. L'utilisateur qui clique alors sur la pièce jointe lance une boîte de dialogue d'installation de profil. Celle-ci l'avertit que le certificat AC qui va être installé n'est pas de confiance. Si l'utilisateur clique sur la commande d'installation, il est à nouveau averti que l'authenticité du sujet ne peut pas être vérifiée et que l'installation du profil ajoutera celui-ci à la liste des certificats approuvés sur l'iPad ou l'iPhone.

Si vous recourez à cette méthode, conseillez aux utilisateurs de faire UNE exception puis de ne plus jamais installer aucun autre certificat AC, même s'il semble émaner du service informatique.

Distribution via le Web : Dirigez les employés vers une page Web sur laquelle votre certificat AC est publié. L'utilisateur qui clique sur l'URL du fichier de certificat lance une boîte de dialogue similaire à celle décrite dans le cas précédent. Si cette méthode est également vulnérable aux usurpations (phishing), il est possible de la renforcer en hébergeant le certificat AC sur un site Web sécurisé. Vous pouvez également conseiller aux utilisateurs de s'assurer qu'ils sont bien sur le site Web légitime avant de télécharger votre certificat ; par exemple, en ouvrant au préalable une session sur un portail Web d'entreprise.

Profils de configuration : Pour ajouter des certificats AC, une méthode plus automatisée et plus robuste consiste à utiliser des profils de configuration iOS. Il s'agit de fichiers qui fournissent des paramètres aux appareils iOS. Chaque profil se compose de données utiles (« charge utile ») au format XML. Celles-ci intègrent les certificats ainsi que les paramètres destinés aux applications qui les utilisent. Quelle que soit la manière dont les profils sont déployés, leur charge utile XML présente le même format.

Trois types de charges utiles de profil véhiculent les paramètres des certificats : les charges utiles Exchange, servant à configurer un accès à la messagerie protégé par TLS (Transport Layer Security) ; les charges utiles VPN IPS (Internet Protocol Security), destinées à configurer un accès VPN authentifié par certificat ; et les charges utiles Wi-Fi, utilisées pour configurer un accès WLAN authentifié via EAP (Extensible Authentication Protocol).

Vous pouvez également intégrer une liste des noms des serveurs TLS de confiance afin de désigner précisément aux appareils iOS les serveurs WLAN qu'ils doivent approuver. Il est également possible d'ajouter un élément « allowUntrustedTLSPrompt » aux profils pour empêcher les utilisateurs d'accepter des connexions à des serveurs HTTPS désapprouvés.

Protocole SCEP (Simple Certificate Enrollment Protocol) : Le protocole SCEP constitue une autre méthode robuste et évolutive d'ajout de certificats AC. Les appareils Apple iOS peuvent utiliser SCEP pour solliciter à distance des certificats auprès de l'AC de votre entreprise, à des fins d'authentification ultérieure d'appareils et d'utilisateurs, notamment pour une inscription auprès du serveur MDM de l'entreprise.

Vous pouvez associer n'importe quel certificat obtenu via SCEP aux charges utiles de configuration Exchange, VPN ou Wi-Fi décrites ci-dessus.

Pour ce faire, intégrez les charges utiles SCEP aux profils de configuration afin de récupérer les certificats clients auprès des serveurs SCEP. Une charge utile SCEP comprend l'URL du serveur SCEP de votre entreprise, ainsi que toute valeur facultative, telle que le nom de l'autorité de certification (AC) et le nom de sujet X.500 du client.

Une fois le certificat AC ajouté à un iPhone ou un iPad, il peut être supprimé à tout moment, soit par MDM, soit par les utilisateurs eux-mêmes. Parallèlement, le système d'exploitation iOS utilise le protocole OCSP (Online Certificate Status Protocol) pour contrôler toute révocation éventuelle des certificats compatibles OCSP. Les entreprises qui prévoient d'émettre des certificats depuis leur propre AC devraient envisager de prendre en charge OCSP pour la gestion en continu des relations de confiance.