Importer et activer les certificats racines de CAcert sur iOS

Ce guide décrit comment importer les certificats racines de CAcert dans un appareil mobile fonctionnant sous iOS, de façon à faire reconnaitre CAcert comme une autorité de certification de confiance par cet appareil. Ainsi, le système d'exploitation et les applications installées accepteront l'ensemble des certificats clients et serveurs signés par CAcert au moyen de l'un ou de l'autre de ses certificats racines.



Comme vous le savez probablement déjà, CAcert met à disposition du public deux certificats racines :

Root CA SHA256

Certificat racine de classe 1, auto-signé grâce à l'algorithme SHA256

SN 0x00000F (15)

Class 3 Root SHA256

Certificat racine intermédiaire de classe 3, signé par Root CA grâce à l'algorithme SHA256

SN 0x00000E (14)


Le certificat de classe 3 étant signé par le certificat de classe 1, il suffit de faire connaitre à iOS votre confiance dans le certificat de classe 1 pour qu'il fasse automatiquement confiance aussi au certificat de classe 3. Seul le certificat racine de classe 1, qui ne reçoit sa validité d'aucun autre (parce qu'il est auto-signé), nécessite cette confirmation particulière de la part de l'utilisateur.

Il reste par contre évidemment nécessaire d'importer manuellement sur l'appareil mobile l'un comme l'autre des deux certificats racines.


iOS - Importer puis activer

Le système d'exploitation d'Apple a sa logique propre et oblige à distinguer deux étapes :

L'utilisateur accomplit ces deux étapes à travers des écrans différents, dans les réglages et paramètres de son appareil.


Importer les certificats

Pour importer les certificats racines de classe 1 et 3 de CAcert, il suffit de se rendre sur le site web de CAcert au moyen de la connexion à l'Internet de l'appareil :


Root CA SHA256

Choisir le certificat racine de classe 1 au format PEM

Téléchargement direct

Class 3 Root SHA256

Choisir le certificat intermédiaire de classe 3 au format PEM

Téléchargement direct




iOS_Step#1a-1_small.png

iOS_Step#1a-2_small.png

Cliquer sur
Installer

Saisir le code PIN
de l'appareil


iOS_Step#1a-4_small.png

iOS_Step#1a-5_small.png

Cliquer de nouveau sur
Installer

Le certificat Class3 Root est installé
mais pas encore vérifié



iOS_Step#1b-1_small.png

iOS_Step#1b-2_small.png

Cliquer sur
Installer

Saisir le code PIN
de l'appareil


iOS_Step#1b-4_small.png

iOS_Step#1b-5_small.png

Cliquer de nouveau sur
Installer

Le certificat Root CA est installé
et bien vérifié



iOS_Step#1c-1_small.png

iOS_Step#1c-2_small.png

iOS_Step#1c-3_small.png

Le panneau de configuration Profils
liste les certificats installés

Le certificat Class 3 Root
apparait vérifié

Le certificat Root CA
apparait vérifié


On aura compris que la même procédure est à répéter individuellement, pour chaque certificat; il est indifférent d'importer d'abord l'un ou l'autre.


Activer le certificat racine de classe 1

L'étape suivante à accomplir, pour rendre les certificats utilisables par le système d'exploitation et les applications, consiste à faire connaitre à iOS votre confiance dans le certificat de classe 1 Root CA.

Pour cela :


iOS_Step#2-1_small.png

iOS_Step#2-2_small.png

iOS_Step#2-3_small.png

Accèder au panneau de configuration
Réglage des certificats

Accepter de faire confiance au certificat
malgré la mise en garde anxiogène

Procédure achevée
avec succès !


A partir de cet instant, l'autorité de certification CAcert est reconnue sur votre appareil mobile, avec le même degré de confiance que n'importe laquelle des autres autorités de certifications dont les certificats sont pré-installés.


Résolution d'incidents

Dans l'hypothèse où le panneau de configuration Réglage des certificats, dans les réglages et paramètres de l'appareil, ne ferait pas apparaître le nom du certificat Root CA, vérifier que le certificat effectivement importé à l'étape précédente est bien le certificat Root CA SHA256 et non le certificat Root CA MD5, désormais obsolète. Bien que les deux certificats soient les mêmes, dans leurs versions récentes, iOS et d'autres systèmes d'exploitation refusent que l'utilisateur accorde sa confiance au certificat racine de CAcert lorsque celui-ci est signé au moyen de l'algorithme MD5.

En cas d'import à tort de Root CA MD5 (numéro de série 0x000000 (0)), il suffit de l'effacer du panneau de configuration accessible sous Réglages -> Général -> Profils, puis de recommencer la procédure de téléchargement, d'installation et de reconnaissance de ce même certificat, en prenant soin de choisir cette fois-ci Root CA SHA256 (numéro de série 0x00000F (15)).


Versions iOS concernées

Ce guide a été écrit pour iOS versions 11 et 12.


CategoryTutorials CategoryStepByStep

HowToDocuments/iOSCertificateImport/FR (last edited 2020-03-24 14:08:08 by Frédéric Dumas)