Installer des certificats numériques sur Windows 10 Mobile

  • Article

Les certificats numériques lient l’identité d’un utilisateur ou d’un ordinateur à une paire de clés qui peut être utilisée pour chiffrer et signer des informations numériques. Les certificats sont émis par une autorité de certification (AC) garantissant l’identité du titulaire du certificat, et permettent d’établir des communications clientes sécurisées avec des sites web et des services.

Dans Windows 10 Mobile, les certificats sont principalement utilisés pour les besoins suivants :

  • Pour créer un canal sécurisé utilisant le protocole SSL entre un téléphone et un serveur web ou un service.
  • Pour authentifier un utilisateur auprès d’un serveur proxy inverse qui permet d’activer Microsoft Exchange ActiveSync (EAS) pour la messagerie.
  • Pour l’installation et la gestion des licences des applications (à partir du Windows Phone Store ou d’un site de distribution de société personnalisé).

Installer des certificats à l’aide d’Internet Explorer

Un certificat peut être publié sur un site web et mis à la disposition des utilisateurs par le biais d’une URL accessibles aux appareils qu’ils peuvent utiliser pour télécharger le certificat. Quand un utilisateur accède à la page et appuie sur le certificat, ce dernier s’ouvre sur l’appareil. L’utilisateur peut examiner le certificat, et s’il choisit de continuer, le certificat est installé sur l’appareil Windows 10 Mobile.

Installer des certificats à l’aide de la messagerie

Le programme d’installation des certificats de Windows 10 Mobile prend en charge les fichiers .cer, .p7b, .pem et .pfx. Pour installer des certificats via la messagerie, assurez-vous que vos filtres de messagerie électronique ne bloquent pas les fichiers .cer. Les certificats qui sont envoyés par courrier électronique s’affichent en tant que pièces jointes. Lorsqu’un certificat est reçu, un utilisateur peut appuyer dessus pour passer en revue son contenu, puis appuyer une nouvelle fois pour l’installer. En règle générale, quand un certificat d’identité est installé, l’utilisateur est invité à indiquer le mot de passe (ou la phrase secrète) qui le protège.

Installer des certificats à l’aide de la gestion des périphériques mobiles (GPM)

Windows 10 Mobile prend en charge la configuration des certificats racine, d’autorité de certification et clients via GPM. Dans GPM, un administrateur peut directement ajouter, supprimer ou interroger des certificats d’autorité de certification et racine, et configurer l’appareil pour inscrire un certificat client auprès d’un serveur d’inscription des certificats prenant en charge le protocole d’inscription de certificats simple (SCEP). Les certificats clients inscrits via le protocole SCEP sont utilisés par le Wi-Fi, le réseau VPN, la messagerie et le navigateur pour l’authentification client basée sur les certificats. Un serveur GPM peut également interroger et supprimer un certificat client inscrit via le protocole SCEP (y compris un certificat installé par l’utilisateur) ou déclencher une nouvelle demande d’inscription avant l’expiration du certificat actuel.

Avertissement  

N’utilisez pas le protocole SCEP pour les certificats de chiffrement de S/MIME. Vous devez utiliser un profil de certificat PFX pour prendre en charge S/MIME sur Windows 10 Mobile. Pour obtenir des instructions sur la création d’un profil de certificat PFX dans Microsoft Intune, consultez Activer l’accès aux ressources d’entreprise à l’aide de profils de certificat avec Microsoft Intune.

 

Mt679135.wedge(fr-fr,VS.85).gifProcessus d’installation des certificats à l’aide de GPM

  1. Le serveur GPM génère la demande d’inscription de certificats initiale incluant le mot de passe de stimulation, l’URL du serveur SCEP et les autres paramètres associés à l’inscription.

  2. La stratégie est convertie en demande OMA DM et envoyée vers l’appareil.

  3. Le certificat d’autorité de certification approuvé est installé directement au cours de la demande GPM.

  4. L’appareil accepte la demande d’inscription de certificats.

  5. L’appareil génère la paire de clés privée/publique.

  6. L’appareil se connecte au point accessible sur Internet exposé par le serveur GPM.

  7. Le serveur GPM crée un certificat signé avec un certificat d’autorité de certification approprié et le retourne à l’appareil.

    Remarque  

    L’appareil prend en charge la fonction en attente pour permettre au côté serveur d’effectuer une vérification supplémentaire avant d’émettre le certificat. Dans ce cas, l’état en attente est renvoyé vers l’appareil. L’appareil contacte régulièrement le serveur en fonction des paramètres préconfigurés de nombre de nouvelles tentatives et de période de nouvelle tentative. Les nouvelles tentatives se terminent lorsque l’une ou l’autre des actions suivantes a lieu :

    Le serveur émet correctement un certificat.

    Le serveur retourne une erreur.

    Le nombre de nouvelles tentatives atteint la limite préconfigurée.

     

  8. Le certificat est installé sur l’appareil. Le navigateur, le Wi-Fi, le réseau VPN, la messagerie et les autres applications internes ont accès à ce certificat.

    Remarque  

    Si GPM a demandé la clé privée stockée dans le module de plateforme sécurisée (TPM) (configuré au cours de la demande d’inscription), cette dernière est enregistrée dans le module TPM. Notez que le certificat inscrit via le protocole SCEP et protégé par le module TPM ne dispose pas de la protection par code confidentiel. Toutefois, s’il est importé dans le fournisseur de stockage de clés (KSP) de Passport for Work, il est protégé par le code confidentiel de Passport.

     

Rubriques associées

Configurer S/MIME