Deuxième partie du blog Apple's iOS Devices and Certificate Lifecycle Planning.
CSS a créé le système de gestion des certificats (CMS) - anciennement Certificate Reporting Tool (CRT) comme mentionné dans ce blog - il y a quelques années, pour aider les organisations à mieux gérer l'expiration des certificats. Vous trouverez ci-dessous des exemples de deux architectures différentes qui s'appuient sur le CMS pour faciliter l'émission et le renouvellement des certificats basés sur iOS.
Option 1 : Station d'inscription
Cette solution suppose qu'il est nécessaire d'inspecter manuellement les paramètres de sécurité d'un appareil avant de l'autoriser à interagir avec les données de l'entreprise.
Figure 1 - Inspection et délivrance du manuel
Le déroulement général serait le suivant :
- Un responsable de la sécurité désigné par l'entreprise inspecte la configuration de l'appareil mobile pour s'assurer qu'elle est conforme à la politique (par exemple, code d'accès, capacité de cryptage et/ou d'effacement, etc.
- À l'aide de l'utilitaire de configuration de l'iPhone (iPCU), la personne chargée de la sécurité configure un profil iOS avec les informations de l'utilisateur et le défi SCEP, et configure l'appareil de l'utilisateur.
- Selon les instructions du nouveau profil, l'iPad ou l'iPhone de l'utilisateur contacte le serveur SCEP de l'entreprise, demande et installe le nouveau certificat.
- Le certificat peut ensuite être utilisé pour authentifier les connexions sans fil, VPN ou ActiveSync de l'entreprise, selon les besoins. Le Certificate Reporting Tool (CRT) de CSS surveille en permanence les autorités de certification de l'entreprise PKI, à la recherche de certificats proches de l'expiration.
- Dans un an ou deux, lorsque le certificat de l'utilisateur arrive à expiration, un courriel est envoyé à l'utilisateur (et/ou à la personne chargée de la sécurité), l'informant qu'il devra répéter les étapes 1 à 3.
Option 2 : Tirer parti de l'extension iOS de la CRT
Le SOC a créé un composant complémentaire à l'outil de rapport sur les certificats qui tire parti de l'utilisation de plug-ins personnalisés pour rationaliser les efforts d'inscription et de renouvellement des certificats.
Figure 2 - Solution CRT iOS du CSS
L'usage général est le suivant :
- Un responsable de la sécurité de l'entreprise désigné utilise l'application CRT iOS Enrollment Software pour sélectionner une personne ou un groupe de personnes à inscrire.
- L'Enrollment Software contacte le serveur SCEP pour obtenir le challenge d'enrôlement SCEP unique, et utilise la fonctionnalité de script iPCU pour créer automatiquement un profil iOS avec les informations appropriées. Les informations pertinentes sur l'utilisateur, telles que le nom commun et le nom alternatif du sujet, sont extraites d'Active Directory et incluses dans la configuration.
- Ce profil est transmis au serveur d'application web iOS de la CRT et un courriel est envoyé à l'utilisateur pour l'informer que le système est prêt à enregistrer son appareil.
- L'utilisateur visite le site web iOS de la CRT protégé par SSL à l'aide du navigateur Safari de son appareil et s'authentifie à l'aide de ses informations d'identification Active Directory.
- Selon les instructions du profil, l'appareil de l'utilisateur crée une paire de clés RSA, contacte le serveur SCEP de l'entreprise, puis demande et installe son certificat à l'aide du défi unique.
- Le certificat peut ensuite être utilisé pour authentifier les connexions sans fil, VPN ou ActiveSync de l'entreprise, selon les besoins. Le Certificate Reporting Tool (CRT) de CSS surveille en permanence les autorités de certification de l'entreprise PKI, à la recherche de certificats proches de l'expiration.
- Dans un an ou deux, lorsque le certificat de l'utilisateur approche de l'expiration, la CRT rappelle automatiquement la CRT iOS Enrollment Software, et les étapes 2 à 5 sont répétées sans qu'aucune intervention administrative ne soit nécessaire.
