Importer un Certificat sur un Client Périphérique

Lorsque vous configurez votre Firebox de sorte qu'il utilise un certificat d'inspection ou d'authentification de contenu HTTPS, vous devez importer ce certificat sur chaque périphérique client de votre réseau pour éviter les avertissements de sécurité sur leur navigateur Web. Vous pouvez effectuer cette importation sur chaque périphérique client ou mettre en place des stratégies de groupe avec Microsoft Active Directory pour installer automatiquement le certificat sur tous les clients.

Pour l'inspection de contenu de Proxy HTTPS, vous pouvez utiliser le certificat d'Autorité de Certification (CA) de l'Autorité Proxy par défaut sur votre périphérique. Si votre entreprise possède déjà une Infrastructure à Clé Publique (PKI) configurée avec une Autorité de Certification approuvée, vous pouvez importer sur votre périphérique un certificat signé par l'Autorité de Certification interne.

Pour plus d'informations à propos de l'inspection de contenu et les certificats, voir Utiliser les Certificats avec l'Inspection du Contenu du Proxy HTTPS.

Pour obtenir des instructions sur l'exportation d'un certificat à partir de votre Firebox, voir Exporter un Certificat à Partir de Votre Firebox.

Lorsque vous exportez un certificat de votre périphérique, il est enregistré au format PEM. Pour certaines méthodes de distribution de certificat, le format de certificat privilégié pour l'importation est le format DER. Pour plus d'informations sur la conversion des formats de certificat, voir Convertir un Format de Certificat.

Chaque système d'exploitation client et navigateur Web a différentes méthodes d'importation des certificats. Les instructions pour les systèmes d'exploitation et les navigateurs Web les plus courants sont fournies dans les rubriques suivantes. Pour les autres systèmes d'exploitation et navigateurs, consultez la documentation du fabricant.

WatchGuard fournit des instructions d'interopérabilité pour aider nos clients à configurer des produits WatchGuard afin qu'ils fonctionnent avec des produits créés par d'autres organisations. Si vous avez besoin de plus d'informations ou de support technique concernant la configuration d'un produit autre que WatchGuard, consultez la documentation et les ressources de support de ce produit.

• Importer un Certificat à partir du Portail de Certificats sur le Firebox
• Importer un Certificat sur les Clients Windows avec Internet Explorer
• Importer un Certificat sur les clients Windows avec la Stratégie de Groupe d'Active Directory.
• Importer un Certificat avec Mozilla Firefox
• Importer un Certificat avec macOS et Apple Safari
• Importer un Certificat avec un Périphérique iOS d'Apple
• Importer un Certificat avec un périphérique Android

Importer un Certificat à partir du Portail de Certificats sur le Firebox

Un client peut aussi télécharger et installer le certificat de l'Autorité de Proxy à partir du Portail de Certificats sur le Firebox.

Pour télécharger et installer le certificat :

1. À l'aide de votre navigateur Web, accédez à http://<Adresse IP du Firebox>:4126/certportal.
2. Cliquez sur Télécharger.
   
   Le certificat est téléchargé sur votre ordinateur.
3. Après le téléchargement du fichier, double-cliquez dessus et suivez les instructions pour installer le certificat. Vous devez spécifier le magasin des Autorités de Certification Racine Approuvées comme emplacement du certificat durant cette procédure.

Pour plus d'informations, consultez Portail de Certificats.

Importer un Certificat sur les Clients Windows avec Internet Explorer

Si vous installez un certificat sur les Autorités de Certification Racine Approuvées avec Internet Explorer, l'ensemble du système (y compris d'autres programmes ou services qui utilisent le magasin de certificats de Windows) pourra utiliser ce certificat pour l'utilisateur actuel. Par exemple, le navigateur Google Chrome pour Windows et Windows Update utiliseront l'ensemble des certificats installés.

Si le certificat est au format DER, vous pouvez formater le nom de fichier avec une extension : .der, .cer ou .crt. Vous pouvez ensuite distribuer ce certificat aux utilisateurs qui peuvent double-cliquez sur le fichier de certificat pour démarrer l'installateur de certificat sur leur système.

Pour importer un certificat manuellement avec Internet Explorer :

1. Sélectionnez Outils.
2. Sélectionnez Options Internet.
3. Sélectionnez l'onglet Contenu.
4. Cliquez sur Certificats.
5. Cliquez sur Importer et suivez les étapes de l'assistant Certificate Import Wizard pour importer les certificats. Vous devez spécifier les Autorités de Certification Racine Approuvées comme emplacement du certificat durant cette procédure.

Lorsque vous importez un certificat via l'assistant Certificate Import Wizard, le certificat est importé dans les magasins de l'utilisateur actuel. Pour importer le certificat dans les magasins de la machine locale afin que tous les utilisateurs puissent utiliser le certificat, double-cliquez sur le fichier de certificat puis importez-le dans les magasins de la machine locale.

Importer un Certificat sur les clients Windows avec la Stratégie de Groupe d'Active Directory.

Vous pouvez également déployer des certificats sur vos périphériques clients Windows par le biais d'un objet de stratégie de groupe depuis votre Active Directory Server. De ce fait, vous pouvez mettre à jour automatiquement tous les clients Windows sur votre domaine avec les certificats requis.

Pour Serveur Windows 2012, 2012 R2, et 2016, consultez Distribuer des Certificats aux Ordinateurs Clients par Stratégie de Groupe Utilisateur.

Pour plus d'informations, consultez la documentation Microsoft pour votre système d'exploitation.

Importer un Certificat avec Mozilla Firefox

Vous pouvez importer manuellement un certificat avec Firefox ou configurer Firefox pour approuver automatiquement les certificats du Magasin de certificats de Windows.

Importation Manuelle

Pour importer manuellement un certificat avec Mozilla Firefox :

1. Sélectionnez Options.
2. Sélectionnez l'onglet Avancé.
3. Sélectionnez l'onglet Certificats.
4. Cliquez sur Afficher les Certificats.
5. Sélectionnez l'onglet Autorités.
6. Cliquez sur Importer.
7. Cliquez sur Parcourir pour sélectionner le fichier de certificat, puis sur Ouvrir.
8. Dans la boîte de dialogue Téléchargement du Certificat, cochez la case Faire confiance à cette autorité de certification pour identifier les sites Web.
9. Cliquez sur OK.
10. Redémarrez Firefox.

Utiliser le Magasin de Certificats de Windows

Pour faciliter le déploiement des certificats, vous pouvez aussi configurer Mozilla Firefox version 49 et versions ultérieures pour utiliser le Magasin de certificats de Windows. Par exemple, si vous déployez un certificat par une stratégie de groupe sur le Magasin de certificats de Windows, Firefox approuvera automatiquement ce certificat. Pour de plus amples informations concernant la prise en charge du Magasin de Certificats de Windows dans Firefox, consultez le Wiki Mozilla.

Pour configurer Firefox sur un seul ordinateur pour utiliser le Magasin de certificats de Windows :

1. Dans la barre d'adresses de Firefox, entrez about:config.
2. Si un avertissement s'affiche, confirmez pour poursuivre.
   La liste des préférences s'ouvre.
3. Défilez jusqu'à la préférence security.enterprise_roots.enabled et vérifiez qu'elle est paramétrée sur True.
4. Si la préférence security.enterprise_roots.enabled n'existe pas, vous devez l'ajouter :
   1. Cliquez avec le bouton droit de la souris n'importe où dans la liste de préférences, et choisissez Nouvelle > Valeur Booléenne.
      La boîte de dialogue Nouvelle valeur Booléenne s'ouvre.
   2. Saisissez security.enterprise_roots.enabled et cliquez sur OK.
      La boîte de dialogue Saisir la Valeur Booléenne s'ouvre.
      
   3. Choisissez Vrai et cliquez sur OK.
5. Pour que le nouveau paramètre prenne effet, désactivez et réactivez les préférences ou redémarrez Firefox.

Pour configurer Firefox sur plusieurs ordinateurs pour utiliser le Magasin de certificats de Windows :

1. Créez un fichier .cfg en codage ANSI avec ces commandes.
   lockPref("security.enterprise_roots.enabled", true);
2. Créez un fichier .js en codage ANSI avec ces commandes. Le fichier .js référence le fichier .cfg que vous avez créé.
   pref("general.config.obscure_value", 0);
   pref("general.config.filename", "[nom du fichier].cfg");
3. Enregistrez le fichier .cfg dans le dossier racine de Firefox :
   • Pour Windows 64 bits et Firefox 32 bits - C:\Program Files (x86)\Mozilla Firefox\
   • Pour Windows 64 bits et Firefox 64 bits - C:\Program Files\Mozilla Firefox
   • Pour Windows 32 bits - C:\Program Files\Mozilla Firefox
4. Enregistrez le fichier .js dans le dossier defaults\pref : C:\Program Files (x86)\Mozilla Firefox\defaults\pref.

Pour distribuer les fichiers .js et .cfg sur les ordinateurs Windows de votre réseau, vous pouvez utiliser une stratégie de groupe ou une installation de Firefox par script.

Comment utiliser une Stratégie de Groupe pour distribuer les fichiers :

1. Dans Policy Manager de Groupe, créez un nouvel object de stratégie de groupe.
2. Faites un clic droit sur l'objet et sélectionnez Modifier.
   L'Éditeur de Gestion des Stratégies de Groupe s'ouvre.
3. Sélectionnez Configuration de l'ordinateur > Préférences > Paramètres Windows > Fichiers.
4. Faites un clic droit sur la section Fichiers et choisissez Nouveau > Fichier.
5. À côté de la zone de texte Fichier(s) Source, indiquez le fichier .cfg.
6. En face de la zone de texte Fichier(s) de Destination, spécifiez C:\Program Files (X86)\Mozilla Firefox\[nom du fichier].cfg sous Windows 64 bits ou C:\Program Files\Mozilla Firefox sous Windows 32 bits. Pour Windows 64 bits et Firefox 64 bits, spécifiez C:\Program Files\Mozilla Firefox. Le fichier .cfg s'installera sur les ordinateurs des utilisateurs à cet emplacement.
7. Répétez les Étapes 1 à 5. En face de la zone de texte Fichier(s) de Destination, spécifiez C:\Program Files\Mozilla Firefox\[nom du fichier].cfg sous Windows 64 bits ou C:\Program Files\Mozilla Firefox sous Windows 32 bits. Pour Windows 64 bits et Firefox 64 bits, spécifiez C:\Program Files\Mozilla Firefox. Le fichier .cfg s'installera sur les ordinateurs des utilisateurs à cet emplacement.
8. Répétez les Étapes 1 à 4.
9. À côté de la zone de texte Fichier(s) Source, indiquez le fichier .js.
10. En face de la zone de texte Fichier(s) de Destination, spécifiez C:\Program Files (X86)\Mozilla Firefox\defaults\pref\[nom du fichier].js sous Windows 64 bits ou C:\Program Files\Mozilla Firefox\defaults\pref\[nom du fichier].js sous Windows 32 bits. Pour Windows 64 bits et Firefox 64 bits, spécifiez C:\Program Files\Mozilla Firefox. Le fichier .js s'installera sur les ordinateurs des utilisateurs à cet emplacement.
11. Répétez les Étapes 1 à 4.
12. À côté de la zone de texte Fichier(s) Source, indiquez le fichier .js.
13. En face de la zone de texte Fichier(s) de Destination, spécifiez C:\Program Files\Mozilla Firefox\defaults\pref\[nom du fichier].js sous Windows 64 bits ou C:\Program Files\Mozilla Firefox\defaults\pref\[nom du fichier].js sous Windows 32 bits. Pour Windows 64 bits et Firefox 64 bits, spécifiez C:\Program Files\Mozilla Firefox. Le fichier .js s'installera sur les ordinateurs des utilisateurs à cet emplacement.
    
14. Cliquez sur OK.

Pour effectuer une installation de Firefox par script, consultez la documentation Mozilla de configuration d'installation.

Importer un Certificat avec macOS et Apple Safari

Ce processus permet à Safari et à d'autres programmes ou services qui utilisent le magasin de certificats de macOS d'avoir accès au certificat.

1. Ouvrez l'application Trousseau d'accès.
2. Sélectionnez la catégorie Certificats.
3. Cliquez sur le signe + dans la barre d'outils inférieure, puis localisez et sélectionnez le certificat.
4. Sélectionnez le trousseau Système, puis cliquez sur Ouvrir.
   
   Ou sélectionnez le trousseau Système, puis glissez-déplacez le fichier certificat dans la liste.
5. Cliquez avec le bouton droit sur le certificat et sélectionnez Infos.
   
   Une fenêtre d'informations sur le certificat s'ouvre.
6. Développez la catégorie Approuver.
7. Dans la liste déroulante Lors de l'utilisation de ce certificat, sélectionnez Toujours approuver.
8. Fermez la fenêtre d'informations sur le certificat.
9. Entrez votre mot de passe d'administrateur pour confirmer les modifications.

Importer un Certificat avec un Périphérique iOS d'Apple

Pour importer un certificat avec un périphérique iOS d'Apple, comme un iPhone ou un iPad, vous devez utiliser un fichier de certificat au format DER. Pour plus d'informations sur l'exportation d'un certificat au format PEM de Firebox System Manager et sa conversion au format DER, voir Exporter un Certificat à Partir de Votre Firebox et Convertir un Format de Certificat.

Le fichier de certificat peut être distribué aux utilisateurs finaux de plusieurs façons : via e-mail, lien de téléchargement sur site Web, profil de configuration iOS ou à l'aide du protocole SCEP (Simple Certificate Enrollment Protocol).

Si vous recevez un fichier de certificat via e-mail ou un lien de téléchargement sur site Web, appuyez sur le certificat pour l'ajouter au périphérique. Par exemple, pour ajouter un certificat distribué via e-mail :

1. Ouvrez l'application Mail.
2. Ouvrez l'e-mail qui contient le certificat en pièce jointe.
3. Appuyez sur le certificat en pièce jointe.
   Le Dialogue Installer le Profil s'ouvre.
4. Appuyez sur Installer.

Si un message d'avertissement apparaît, vous pouvez l'ignorer et appuyez sur Installer. Ce message apparaît si le périphérique iOS ne fait pas confiance à l'autorité de signature pour ce certificat.

Après l'installation du certificat, vous devez activer le certificat dans les paramètres Réglages des certificats si votre appareil exécute iOS 10.3 ou une version ultérieure :

1. Sélectionnez Paramètres > Général > À propos.
2. Sélectionnez Réglages des Certificats.
3. Dans la section Activer la Confiance Totale pour les Certificats Racine, touchez le curseur du certificat.
4. Touchez Continuer.

Importer un Certificat avec un périphérique Android

La procédure à suivre pour ajouter un certificat à un appareil Android diffère en fonction du fabricant du périphérique. Voici quelques règles générales :

• Vous devez exécuter Android v4.3 ou une version ultérieure pour ajouter un certificat.
• Android prend en charge les certificats encodés DER X.509. Pour certains périphériques, il est nécessaire de sauvegarder les certificats au format .crt ou .cer.

Pour plus d'informations sur l'exportation d'un certificat au format PEM de Firebox System Manager et sa conversion au format DER, voir Exporter un Certificat à Partir de Votre Firebox et Convertir un Format de Certificat.

Si vous possédez une copie du certificat sur votre périphérique, en pièce jointe d'un e-mail ou si vous l'avez téléchargé, certains périphériques vous permettent d'appuyer dessus pour l'importer.

1. Ouvrez l'application de messagerie sur votre appareil Android.
2. Ouvrez l'e-mail qui contient le certificat en pièce jointe.
3. Appuyez sur le certificat en pièce jointe.
   La boîte de dialogue Donner un Nom au Certificat s'ouvre.
4. Donnez un nom descriptif au certificat.
5. Tapez sur OK.

Pour importer un certificat enregistré sur le disque dur d'un périphérique Android :

1. Dans les paramètres de votre périphérique Android, allez dans les paramètres de sécurité, là où les certificats et les informations d'identification sont stockés.
2. Importez le certificat.

Voir Également

Gérer les Certificats de Périphérique (WSM)

Gérer les Certificats de Périphérique (Web UI)

Proxy HTTPS : inspection du contenu