#language fr
## 20210714 AK
----
[[HowToDocuments/iOSCertificateImport/CZ|česky]] | [[HowToDocuments/iOSCertificateImport/DE|deutsch]] | [[HowToDocuments/iOSCertificateImport|english]] | '''français''' | --- [[HowToDocuments/FR|Accéder aux autres guides]]
----
= Importer et activer les certificats racines de CAcert sur iOS =
Ce guide décrit comment '''importer''' les certificats racines de CAcert dans un appareil mobile fonctionnant sous '''iOS''', de façon à faire reconnaitre CAcert comme une autorité de certification de '''confiance''' par cet appareil. Ainsi, le système d'exploitation et les applications installées '''accepteront''' l'ensemble des certificats clients et serveurs '''signés''' par CAcert au moyen de l'un ou de l'autre de ses certificats racines.
<
>
<>
<
>
Comme vous le savez probablement déjà, CAcert met à disposition du public '''deux''' certificats racines :
<
>
|| '''Root CA''' SHA256 ||<)> Certificat racine de classe 1, auto-signé grâce à l'algorithme SHA256 ||<(> SN 0x00000F (15)||
|| '''Class 3 Root''' SHA256 ||<)> Certificat racine intermédiaire de classe 3, signé par Root CA grâce à l'algorithme SHA256 ||<(> SN 0x00000E (14)||
<
>
Le certificat de ''classe 3'' étant signé par le certificat de ''classe 1'', il suffit de faire connaitre à iOS votre confiance dans le certificat de classe 1 pour qu'il fasse automatiquement confiance aussi au certificat de classe 3. Seul le certificat racine de classe 1, qui ne reçoit sa validité d'aucun autre (parce qu'il est auto-signé), nécessite cette confirmation particulière de la part de l'utilisateur.
Il reste par contre évidemment nécessaire d'importer manuellement sur l'appareil mobile l'un comme l'autre des deux certificats racines.
<
>
== iOS - Importer puis activer ==
Le système d'exploitation d'Apple a sa logique propre et oblige à distinguer deux étapes :
* '''1^ère^ étape - l'importation''' des certificats dans l'appareil: il s'agit de télécharger, puis d'accepter l'installation de chacun des deux certificats; à l'issue de cette étape, les certificats sont disponibles et '''vérifiés''', mais ne sont pas encore '''utilisables''';
* '''2^nde^ étape - l'activation''' sur l'appareil du certificat racine de classe 1; il s'agit de '''désigner''' explicitement le certificat racine auto-signé comme "'''pleinement de confiance'''"; à l'issue de cette étape, le système d'exploitation et les applications pourront l'utiliser, et étendront mécaniquement cette confiance au certificat intermédiaire de classe 3.
L'utilisateur accomplit ces deux étapes à travers des écrans différents, dans les réglages et paramètres de son appareil.
<
>
=== Importer les certificats ===
Pour importer les certificats racines de classe 1 et 3 de CAcert, il suffit de se rendre sur le site web de CAcert au moyen de la connexion à l'Internet de l'appareil :
* lancer le navigateur '''Safari''' sur votre iPhone ou iPad;
* afficher la page web depuis laquelle '''télécharger''' les certificats '''Root CA''' SHA256 et '''Class 3 Root''' SHA256 :
<
>
|| '''Root CA''' SHA256 ||<)> [[http://www.cacert.org/index.php?id=3|Choisir le certificat racine de classe 1 au format PEM]]||[[http://www.cacert.org/certs/root_X0F.crt|Téléchargement direct]]||
|| '''Class 3 Root''' SHA256 ||<)> [[http://www.cacert.org/index.php?id=3|Choisir le certificat intermédiaire de classe 3 au format PEM]]||[[http://www.cacert.org/certs/class3_x14E228.crt|Téléchargement direct]]||
<
>
* depuis la fenêtre du navigateur '''Safari''', cliquer sur '''l'hyperlien''' web invitant au téléchargement;
* en réponse aux questions d'iOS, '''accepter''' d'installer le certificat en faisant systématiquement le choix des réponses permettant d'aller à l'écran suivant.
<
>
* Importer par exemple en premier le certificat '''Class 3 Root''':
<
>
||<:>{{attachment:iOS_Step#1a-1_small.png}}||<:>{{attachment:iOS_Step#1a-2_small.png}}||
||<:>'''Cliquer sur<
>''Installer'''''||<:>'''Saisir le code PIN<
>de l'appareil'''||
<
>
||<:>{{attachment:iOS_Step#1a-4_small.png}}||<:>{{attachment:iOS_Step#1a-5_small.png}}||
||<:>'''Cliquer de nouveau sur<
>''Installer'''''||<:>'''Le certificat ''Class3 Root'' est installé<
>mais pas encore ''vérifié'''''||
NB: iOS n'accorde pas le status "vérifié" au certificat racine intermédiaire '''Class 3 Root''' tant que le certificat racine '''Root CA''' n'a pas lui aussi été importé.
<
>
* Répéter la même procédure pour importer cette fois le certificat '''Root CA''':
<
>
||<:>{{attachment:iOS_Step#1b-1_small.png}}||<:>{{attachment:iOS_Step#1b-2_small.png}}||
||<:>'''Cliquer sur<
>''Installer'''''||<:>'''Saisir le code PIN<
>de l'appareil'''||
<
>
||<:>{{attachment:iOS_Step#1b-4_small.png}}||<:>{{attachment:iOS_Step#1b-5_small.png}}||
||<:>'''Cliquer de nouveau sur<
>''Installer'''''||<:>'''Le certificat ''Root CA'' est installé<
>et bien ''vérifié'''''||
<
>
* On peut à tout moment visualiser la liste des certificats '''déjà installés''' en retournant au panneau de configuration accessible sous '''Réglages''' -> '''Général''' -> '''Profils'''.
<
>
||<:>{{attachment:iOS_Step#1c-1_small.png}}||<:>{{attachment:iOS_Step#1c-2_small.png}}||<:>{{attachment:iOS_Step#1c-3_small.png}}||
||<:>'''Le panneau de configuration ''Profils''<
>liste les certificats installés'''||<:>'''Le certificat ''Class 3 Root''<
>apparait ''vérifié'''''||<:>'''Le certificat ''Root CA''<
>apparait ''vérifié'''''||
Le certificat '''Class 3 Root''' obtient automatiquement le status ''vérifié'', à partir du moment où le certificat '''Root CA''' a été lui aussi importé.
<
>
On aura compris que la même procédure est à répéter individuellement, pour chaque certificat; il est indifférent d'importer d'abord l'un ou l'autre.
<
>
=== Activer le certificat racine de classe 1 ===
L'étape suivante à accomplir, pour rendre les certificats utilisables par le système d'exploitation et les applications, consiste à faire connaitre à iOS votre '''confiance''' dans le certificat de classe 1 '''Root CA'''.
Pour cela :
* ouvrir le panneau de configuration accessible sous '''Réglages''' -> '''Général''' -> '''Informations''' -> '''Réglages des certificats'''
* le nom du certificat Root CA qu'on vient d'importer '''apparaît dans cet écran'''; la confiance en Class 3 Root étant une conséquence mécanique de la confiance en Root CA, le panneau de configuration ne fait pas apparaître le nom du certificat Class 3 Root;
* basculer le commutateur vers la '''position verte''', afin de confirmer à iOS votre '''confiance complète''' dans le certificat racine de CAcert.
<
>
||<:>{{attachment:iOS_Step#2-1_small.png}}||<:>{{attachment:iOS_Step#2-2_small.png}}||<:>{{attachment:iOS_Step#2-3_small.png}}||
||<:>'''Accèder au panneau de configuration<
>''Réglage des certificats'''''||<:>'''Accepter de faire confiance au certificat<
>malgré la mise en garde anxiogène'''||<:>'''Procédure achevée<
>avec succès !'''||
<
>
A partir de cet instant, l'autorité de certification CAcert est reconnue sur votre appareil mobile, avec le même degré de confiance que n'importe laquelle des autres autorités de certifications dont les certificats sont pré-installés.
<
>
== Résolution d'incidents ==
Dans l'hypothèse où le panneau de configuration ''Réglage des certificats'', dans les réglages et paramètres de l'appareil, ne ferait pas apparaître le nom du certificat Root CA, vérifier que le certificat effectivement importé à l'étape précédente est bien le certificat Root CA SHA256 et non le certificat Root CA MD5, désormais obsolète. Bien que les deux certificats soient les mêmes, dans leurs versions récentes, iOS et d'autres systèmes d'exploitation refusent que l'utilisateur accorde sa confiance au certificat racine de CAcert lorsque celui-ci est signé au moyen de l'algorithme MD5.
En cas d'import à tort de '''Root CA MD5''' (numéro de série 0x000000 (0)), il suffit de l'effacer du panneau de configuration accessible sous '''Réglages''' -> '''Général''' -> '''Profils''', puis de recommencer la procédure de téléchargement, d'installation et de reconnaissance de ce même certificat, en prenant soin de choisir cette fois-ci '''Root CA SHA256''' (numéro de série 0x00000F (15)).
<
>
== Versions iOS concernées ==
Ce guide a été écrit pour '''iOS''' versions '''11''' et '''12'''.
----
CategoryTutorials CategoryStepByStep