# Certificats de confiance

## Types de certificats de confiance

### AC de confiance pour l’authentification client

Les AC de confiance pour l’authentification client établissent la confiance entre les AC qui émettent les certificats d’authentification client pour vos appareils terminaux et RADIUSaaS.

### Certificats de connexion RadSec de confiance

RadSec fonctionne lui-même avec une authentification mutuelle par certificat (mTLS). Cela signifie que, d’une part, vos authentificateurs doivent [faire confiance à RADIUSaaS](https://docs.radiusaas.com/fr/portail-dadministration/settings-server#server-certificates) et, d’autre part, RADIUSaaS doit savoir quels authentificateurs sont dignes de confiance afin qu’une connexion RadSec valide puisse être établie. Les certificats de connexion RadSec de confiance garantissent que RADIUSaaS ne fait confiance qu’aux authentificateurs que vous spécifiez.

## **Certificat RadSec de confiance préinstallé**

En raison de ce qui précède [ci-dessus](#trusted-radsec-connection-certificates), vous verrez toujours au moins un certificat de confiance RadSec qui établit la confiance avec votre [Les proxys RADIUS](https://docs-preview.radiusaas.com/admin-portal/settings/settings-proxy) (jouant en pratique le rôle de clients RadSec). Afin de garantir que vos proxys puissent démarrer correctement et établir une connexion avec votre instance, vous ne pouvez pas le supprimer.

## Ajouter&#x20;

{% hint style="warning" %}
Si vous disposez d’une infrastructure PKI hiérarchisée (par exemple, une **Microsoft legacy PKI**), veuillez envisager [ceci](#tiered-pki-hierarchy).
{% endhint %}

Pour ajouter un nouveau certificat de confiance, suivez les étapes suivantes :

1. Cliquez sur **Ajouter**
2. Sélectionnez si vous souhaitez importer le certificat de confiance&#x20;
   * depuis SCEPman (en fournissant l’URL de votre instance SCEPman), ou
   * depuis toute autre AC (en téléversant un fichier de certificat encodé en PEM ou DER)
3. Sélectionnez le [type](#types-of-trusted-certificates) de certificat de confiance sous **Utiliser pour**:
   * [**Authentification client**](#trusted-cas-for-client-authentication)
   * [**RadSec**](#trusted-radsec-connection-certificates)
   * **Les deux** (utile si la même AC émet à la fois vos certificats d’authentification client et vos certificats client RadSec)
4. Téléversez le fichier du certificat par glisser-déposer (vous pouvez également cliquer dans la zone bleue et sélectionner votre fichier)
5. Sélectionnez l’option de vérification du certificat :
   * **Détection automatique OCSP**: RADIUSaaS tentera de déduire l’URL du répondeur OCSP à partir de l’extension Authority Information Access (AIA) du certificat client utilisée pour l’authentification réseau. Si aucune URL de répondeur OCSP n’est trouvée ou si le répondeur OCSP est indisponible, RADIUSaaS considérera la [**échec souple** ](#ocsp-soft-fail)configuration.
   * **OCSP**: Spécifiez manuellement quelle URL de répondeur OCSP sera utilisée pour tout certificat émis par l’AC de confiance. Si le répondeur OCSP est indisponible, RADIUSaaS considérera la [**échec souple** ](#ocsp-soft-fail)configuration.
   * **CRL**: Si cette option est sélectionnée, RADIUSaaS utilisera une CRL au lieu d’OCSP pour vérifier le certificat émis par l’AC. Spécifiez l’encodage de la CRL (**DER** ou **PEM**) et les **points de distribution de la CRL**.
   * **Aucun :** Si votre AC ne prend en charge ni OCSP ni CRL, sélectionnez **Aucun** pour ignorer la vérification.
6. Cliquez sur **Enregistrer**

## Supprimer

Pour supprimer un certificat, développez la ligne correspondante, cliquez sur **Supprimer** et confirmez votre choix.&#x20;

<figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F881Etn4X8SPLFDEUIEaz%2Fimage.png?alt=media&#x26;token=1f14289f-0179-45e1-ab9f-72a39f4e2e37" alt=""><figcaption><p>Suppression d’un certificat de confiance affichée</p></figcaption></figure>

## Échec souple OCSP

Ce paramètre détermine le comportement de RADIUSaaS lorsque le répondeur OCSP de votre AC de confiance est injoignable.&#x20;

{% hint style="danger" %}
Si vous **désactivez** ce paramètre, les demandes d’authentification seront **rejetées** lorsque le répondeur OCSP de votre AC est injoignable.

Veuillez vérifier [consequences-du-mode-de-non-prise-en-charge-ocsp](https://docs.radiusaas.com/fr/autre/faqs/consequences-du-mode-de-non-prise-en-charge-ocsp "mention") pour vous assurer que vous comprenez les implications de ce paramètre.
{% endhint %}

{% hint style="info" %}
Notez que ce paramètre n’est disponible que lorsque **Détection automatique OCSP** ou **OCSP** est sélectionné pour la vérification du certificat.&#x20;
{% endhint %}

Par défaut, nous **recommandons d’activer l’échec souple OCSP** pour augmenter la disponibilité du service en permettant l’acceptation des demandes d’authentification même si le répondeur OCSP est injoignable. Avec ce **mécanisme d’échec souple** et dans le cas où OCSP n’est pas joignable, RADIUSaaS vérifiera uniquement si le certificat entrant a été signé par l’une des [AC de confiance](https://docs.radiusaas.com/fr/portail-dadministration/settings/trusted-roots) et traitera les éventuelles [Règles](https://docs.radiusaas.com/fr/portail-dadministration/settings/rules).

<figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FOZsiGA2Azh5szBKobNvd%2Fimage.png?alt=media&#x26;token=c5f34e6d-2d2d-49b3-813d-ea8165f8ce52" alt=""><figcaption></figcaption></figure>

## Hiérarchie PKI à plusieurs niveaux

Dans un environnement d’AC à plusieurs niveaux avec plusieurs AC émettrices configurées, les certificats émis par l’AC racine ou par toute AC émettrice auront accès, que le certificat ait été émis par l’AC racine ou par une AC émettrice. Cela signifie que faire confiance à la racine fera automatiquement confiance aux certificats émis par n’importe laquelle des AC émettrices. \
\
Si l’accès doit être contrôlé en fonction des AC émettrices, cela peut être obtenu en configurant [les règles correspondantes](https://docs.radiusaas.com/fr/portail-dadministration/rules#certificate-based-authentication).

### Considérations

Lors du téléversement des AC racine et des AC émettrices d’une PKI hiérarchisée, veuillez tenir compte des éléments suivants :

* Le **l’AC racine doit être téléversée en premier**, avant de téléverser toute AC émettrice dérivée de cette AC racine.
* Les AC racine et émettrices doivent être téléversées dans des fichiers séparés. Le téléversement de chaînes de certificats depuis un seul fichier peut entraîner un comportement inattendu.

## Paramètres facultatifs

### ID Intune

Il est possible d’utiliser le certificat que chaque machine Windows 10 reçoit d’Intune lors de son adhésion à Microsoft Entra ID (Azure AD).

{% hint style="danger" %}
Ce paramètre est facultatif. Si vous n’êtes pas familiarisé avec les certificats Intune, veuillez ne pas les configurer !
{% endhint %}

#### Pourquoi ne recommandons-nous pas d’utiliser les certificats Intune à des fins d’authentification ?

* Les certificats Intune ne sont pas pris en charge par Microsoft pour d’autres usages que la gestion avec Intune.
* La durée de validité des certificats Intune est de 1 an.
* Il n’existe aucun mécanisme de révocation des certificats (comme OCSP).

Au lieu d’utiliser des certificats Intune, nous recommandons d’utiliser des certificats provenant d’une PKI comme [SCEPman](https://scepman.com/).

#### Configurer les ID Intune

{% hint style="danger" %}
Utilisez ce paramètre avec prudence. L’un des ID suivants **doit** exister dans l’extension de certificat 1.2.840.113556.5.14. Tous les autres certificats seront **rejetés**.
{% endhint %}

Pour obtenir votre ID de tenant Intune, suivez les étapes suivantes :&#x20;

* Appuyez sur **Windows + R** et saisissez **certlm.msc**
* Accédez à vos certificats personnels. Il y aura un certificat émis par l’un des émetteurs suivants
  * SC Online Issuing
  * MDM Device Authority&#x20;
* Ouvrez ce certificat, allez dans **Détails** et recherchez l’extension&#x20;

  1.2.840.113556.5.14
* La valeur HEX affichée est votre ID de tenant Intune.&#x20;

**Exemple :**

L’ID de tenant du certificat suivant est : **bb4397cb6891c64db17f766487518a6a**

![Affichage du certificat](https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/idPvrWmWOtjQuz2my7Yj/image.png)

## XML

{% hint style="info" %}
Le profil XML généré par RADIUSaaS activera [la mise en cache PMK](https://docs.radiusaas.com/fr/deploiement-de-profil/microsoft-intune/wifi-profile/windows#fast-roaming).
{% endhint %}

Aujourd’hui, la plupart des plateformes MDM proposent une méthode guidée pour déployer des profils réseau (Wi-Fi et LAN). Si cela n’est pas possible, ou si l’assistant n’offre que des options de configuration limitées, vous pouvez générer directement un profil XML brut sur la plateforme RADIUSaaS.

* Pour générer votre profil XML **WiFi** :&#x20;
  1. Développez le **XML** menu,&#x20;
  2. sélectionnez le protocole de sécurité souhaité (WPA2 ou WPA3),&#x20;
  3. saisissez votre **SSID,**
  4. et cliquez sur **Télécharger**.
* Pour générer votre profil XML **Pour le profil XML filaire, cliquez** sur **Télécharger**.

<figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FjHbQ9ohBN5f6bMmug00h%2Fimage.png?alt=media&#x26;token=ea446f76-6399-41fa-b81c-88414d863dcc" alt=""><figcaption></figcaption></figure>