• HowToDocuments
• iOSCertificateImport
• FR

• česky | deutsch | english | français | --- Accéder aux autres guides

Importer et activer les certificats racines de CAcert sur iOS

Ce guide décrit comment importer les certificats racines de CAcert dans un appareil mobile fonctionnant sous iOS, de façon à faire reconnaitre CAcert comme une autorité de certification de confiance par cet appareil. Ainsi, le système d'exploitation et les applications installées accepteront l'ensemble des certificats clients et serveurs signés par CAcert au moyen de l'un ou de l'autre de ses certificats racines.

Comme vous le savez probablement déjà, CAcert met à disposition du public deux certificats racines :

Le certificat de classe 3 étant signé par le certificat de classe 1, il suffit de faire connaitre à iOS votre confiance dans le certificat de classe 1 pour qu'il fasse automatiquement confiance aussi au certificat de classe 3. Seul le certificat racine de classe 1, qui ne reçoit sa validité d'aucun autre (parce qu'il est auto-signé), nécessite cette confirmation particulière de la part de l'utilisateur.

Il reste par contre évidemment nécessaire d'importer manuellement sur l'appareil mobile l'un comme l'autre des deux certificats racines.

iOS - Importer puis activer

Le système d'exploitation d'Apple a sa logique propre et oblige à distinguer deux étapes :

• 1^ère étape - l'importation des certificats dans l'appareil: il s'agit de télécharger, puis d'accepter l'installation de chacun des deux certificats; à l'issue de cette étape, les certificats sont disponibles et vérifiés, mais ne sont pas encore utilisables;

• 2^nde étape - l'activation sur l'appareil du certificat racine de classe 1; il s'agit de désigner explicitement le certificat racine auto-signé comme "pleinement de confiance"; à l'issue de cette étape, le système d'exploitation et les applications pourront l'utiliser, et étendront mécaniquement cette confiance au certificat intermédiaire de classe 3.

L'utilisateur accomplit ces deux étapes à travers des écrans différents, dans les réglages et paramètres de son appareil.

Importer les certificats

Pour importer les certificats racines de classe 1 et 3 de CAcert, il suffit de se rendre sur le site web de CAcert au moyen de la connexion à l'Internet de l'appareil :

• lancer le navigateur Safari sur votre iPhone ou iPad;

• afficher la page web depuis laquelle télécharger les certificats Root CA SHA256 et Class 3 Root SHA256 :

• depuis la fenêtre du navigateur Safari, cliquer sur l'hyperlien web invitant au téléchargement;

• en réponse aux questions d'iOS, accepter d'installer le certificat en faisant systématiquement le choix des réponses permettant d'aller à l'écran suivant.

• Importer par exemple en premier le certificat Class 3 Root:

• NB: iOS n'accorde pas le status "vérifié" au certificat racine intermédiaire Class 3 Root tant que le certificat racine Root CA n'a pas lui aussi été importé.

• Répéter la même procédure pour importer cette fois le certificat Root CA:

• On peut à tout moment visualiser la liste des certificats déjà installés en retournant au panneau de configuration accessible sous Réglages -> Général -> Profils.

• Le certificat Class 3 Root obtient automatiquement le status vérifié, à partir du moment où le certificat Root CA a été lui aussi importé.

On aura compris que la même procédure est à répéter individuellement, pour chaque certificat; il est indifférent d'importer d'abord l'un ou l'autre.

Activer le certificat racine de classe 1

L'étape suivante à accomplir, pour rendre les certificats utilisables par le système d'exploitation et les applications, consiste à faire connaitre à iOS votre confiance dans le certificat de classe 1 Root CA.

Pour cela :

• ouvrir le panneau de configuration accessible sous Réglages -> Général -> Informations -> Réglages des certificats

• le nom du certificat Root CA qu'on vient d'importer apparaît dans cet écran; la confiance en Class 3 Root étant une conséquence mécanique de la confiance en Root CA, le panneau de configuration ne fait pas apparaître le nom du certificat Class 3 Root;

• basculer le commutateur vers la position verte, afin de confirmer à iOS votre confiance complète dans le certificat racine de CAcert.

A partir de cet instant, l'autorité de certification CAcert est reconnue sur votre appareil mobile, avec le même degré de confiance que n'importe laquelle des autres autorités de certifications dont les certificats sont pré-installés.

Résolution d'incidents

Dans l'hypothèse où le panneau de configuration Réglage des certificats, dans les réglages et paramètres de l'appareil, ne ferait pas apparaître le nom du certificat Root CA, vérifier que le certificat effectivement importé à l'étape précédente est bien le certificat Root CA SHA256 et non le certificat Root CA MD5, désormais obsolète. Bien que les deux certificats soient les mêmes, dans leurs versions récentes, iOS et d'autres systèmes d'exploitation refusent que l'utilisateur accorde sa confiance au certificat racine de CAcert lorsque celui-ci est signé au moyen de l'algorithme MD5.

En cas d'import à tort de Root CA MD5 (numéro de série 0x000000 (0)), il suffit de l'effacer du panneau de configuration accessible sous Réglages -> Général -> Profils, puis de recommencer la procédure de téléchargement, d'installation et de reconnaissance de ce même certificat, en prenant soin de choisir cette fois-ci Root CA SHA256 (numéro de série 0x00000F (15)).

Versions iOS concernées

Ce guide a été écrit pour iOS versions 11 et 12.

CategoryTutorials CategoryStepByStep