Partager via

  • Article

Description des exigences en termes de certificats auto-signés

Dernière rubrique modifiée : 2009-05-27

Cette section fournit une vue d'ensemble des appareils mobiles qui requièrent l'installation de certificats auto-signés. Si votre organisation utilise une autorité de certification publique, il est possible que le certificat racine soit déjà installé sur votre appareil mobile. L'installation d'un certificat est une tâche importante. Cette section concerne uniquement les utilisateurs devant installer un certificat auto-signé sur leur appareil mobile. Lorsque vous installez des certificats, vérifiez qu'Office Communicator Mobile n'est pas en cours d'exécution. Si vous ne le faites pas, vous devrez peut‑être redémarrer votre appareil pour utiliser les certificats.

Rôle des certificats

Les certificats assurent la sécurisation du réseau en authentifiant le serveur Office Communications Server 2007 R2 auquel Office Communicator Mobile se connecte. Pour procéder à l'authentification, Office Communicator Mobile exige que le certificat racine faisant partie de la chaîne de certificats du serveur soit installé sur l'appareil. Si votre organisation utilise une autorité de certification publique, il est possible que le certificat racine soit déjà installé sur les appareils mobiles de vos utilisateurs.

Par défaut, les appareils Windows Mobile sont livrés avec divers certificats. Pour obtenir la liste des certificats actuellement livrés avec les périphériques Windows Mobile 6, consultez le site Web de Microsoft Certificates for Windows Mobile 5.0 and Windows Mobile 6 (en anglais). Avant de continuer, vérifiez qu'aucun certificat racine faisant partie du certificat de serveur n'est installé sur votre appareil mobile.

Outils de certificat

Vous trouverez ci-après une présentation d'outils et de stratégies pouvant être utilisés pour installer des certificats racines sur des appareils Windows Mobile, ainsi qu'une description de différentes procédures d'installation. Avant d'installer les certificats, familiarisez-vous avec les outils et stratégies utilisés pour installer les certificats sur des appareils Windows Mobile.

SPAddCert

L'utilitaire SPAddCert (disponible seulement en anglais) permet d'ajouter des certificats racines aux appareils Windows Mobile appliquant la stratégie Unrestricted Application Security (Sécurité des applications sans restriction), mais il ne vous permet pas d'installer des certificats d'autorité de certification intermédiaire.

En cas de restriction d'un appareil par l'opérateur de téléphonie mobile, le message suivant s'affiche lorsque vous tentez d'exécuter SPAddCert : « This device is currently secured such that certificates cannot be added to the root store. For support please contact your device administrator. » (Cet appareil est actuellement sécurisé de telle sorte qu'aucun certificat ne puisse être ajouté au magasin racine. Pour obtenir de l'aide, contactez l'administrateur de votre appareil.)

Vous pouvez exécuter SPAddCert sur des appareils avec restriction uniquement si la version de SPAddCert que vous utilisez est signée et distribuée par l'opérateur de téléphonie mobile. Pour plus d'informations ou pour télécharger l'utilitaire SPAddCert, consultez l'article 841060 de la Base de connaissances Microsoft, « Comment faire pour ajouter des certificats racines à Windows Mobile 2003 Smartphone et à Windows Mobile 2002 Smartphone », à l'adresse https://go.microsoft.com/fwlink/?LinkId=126908.

Remarques sur SPAddCert

  • Pour que des applications non signées telles que SPAddCert puissent fonctionner sur l'appareil, la valeur 1 doit être attribuée à la stratégie Unsigned Applications (Applications non signées) 4102 sur l'appareil. La valeur 0 est attribuée par défaut. Si cette stratégie n'est pas configurée correctement, SPAddCert ne fonctionnera pas.
  • Vous pouvez changer ce paramètre de stratégie en modifiant manuellement le Registre. Cette opération permet également à d'autres applications non signées de s'exécuter, ce qui peut présenter des risques en termes de sécurité.
  • Pour modifier la configuration de cette stratégie dans le Registre, atteignez la clé de registre HKEY\LOCAL_MACHINE\Security\Policies\Policies\. Sous 00001006 (4102), attribuez la nouvelle valeur 1. Créez, si nécessaire, la valeur DWORD.

Certinst et la stratégie Grant Manager (Accorder le rôle de gestionnaire)

Certinst est un utilitaire intégré aux appareils Pocket PC qui installe les certificats de votre choix. Certinst permet d'installer des certificats racines ou des certificats d'autorité de certification intermédiaire. La stratégie Grant Manager est une stratégie de sécurité appliquée aux appareils Windows Mobile qui indique le niveau d'accès dont vous disposez sur les ressources d'un appareil (par exemple, pendant l'installation d'une nouvelle application ou d'un nouveau certificat). Par exemple, le rôle de gestionnaire doit être accordé à votre compte sur un appareil Pocket PC pour qu'il puisse exécuter l'utilitaire intégré Certinst pour installer un certificat. Le rôle de gestionnaire est accordé à votre compte lorsque la valeur USER_AUTH (16) est attribuée à la stratégie Grant Manager.

Remarques sur Certinst et Grant Manager

  • Pour que Certinst fonctionne correctement, la valeur 16 (qui correspond au rôle USER_AUTH) doit être attribuée à la stratégie Grant Manager (Accorder le rôle de gestionnaire) 4119 sur l'appareil. La valeur 128 (qui correspond au rôle OPERATOR_TPS) est attribuée par défaut. Si cette stratégie n'est pas configurée correctement, Certinst ne fonctionnera pas.
    Vous pouvez ajouter le rôle USER_AUTH en modifiant manuellement le Registre ou un fichier de configuration d'appareil. Cette opération élèvera toutefois les privilèges du rôle de sécurité USER_AUTH au rang des privilèges d'administration du système, ce qui peut présenter des risques en termes de sécurité.
    Pour modifier la configuration de cette stratégie dans le Registre, atteignez la clé de registre HKEY\LOCAL_MACHINE\Security\Policies\Policies\. Sous '00001017' (4119), attribuez la nouvelle valeur 16.
  • Si votre appareil ne dispose pas d'un éditeur du Registre intégré que vous pouvez utiliser pour modifier la stratégie Grant Manager, vous pouvez recourir à l'un des éditeurs du Registre disponibles gratuitement sur le Web.