OS X Mavericks : renouvellement des certificats obtenus via un profil

OS X Mavericks permet la prise en charge des certificats obtenus par le biais d’un profil de configuration.

OS X prend en charge deux méthodes d’enregistrement de certificats par le biais d’un profil de configuration : le protocole SCEP (Simple certificate enrollment protocol) et le protocole DCOM/RPC (certificats AD). Les certificats AD dépendent d’une autorité de certification Microsoft Windows Server. Le protocole SCEP utilise généralement le service d’enregistrement des périphériques réseaux (NDES) d’une autorité de certification Microsoft.

Sous OS X Mavericks, les certificats obtenus via un profil peuvent être renouvelés par le biais de ce même profil, si celui-ci est toujours installé. Quinze jours avant l’expiration du certificat, un bouton Mettre à jour apparaît à proximité du profil, dans la sous-fenêtre Profils des Préférences Système.

 

 
Une bannière apparaît dans le centre de notifications de Mavericks lorsqu’un renouvellement est requis (dans les 15 jours précédents l’expiration).
 
Cette notification est répétée une fois par jour jusqu’à l’expiration du certificat, ou jusqu’à ce qu’une action soit entreprise.
 
Renouvellement des certificats AD
Dans la sous-fenêtre Profils des Préférences Système, cliquez sur le bouton Mettre à jour. Une nouvelle clé privée est alors créée, puis utilisée pour signer la demande de certificat envoyée à l’autorité de certification. Une fois reçu, le nouveau certificat est ensuite associé à la nouvelle clé privée.
 
Le certificat et la clé privée d’origine, créés lors de l’installation du profil, sont conservés dans le trousseau.
 
Renouvellement des certificats SCEP
Dans la sous-fenêtre Profils des Préférences Système, cliquez sur le bouton Mettre à jour. La clé privée existante est utilisée pour signer les demandes de certificat envoyées à l’autorité de certification. Une fois reçue, la version renouvelée du certificat est ensuite associée à la clé privée d’origine.
 
Le certificat d’origine, créé lors de l’installation du profil, est conservé dans le trousseau.

Si le profil utilisé pour obtenir le certificat ADCert ou SCEP est supprimé de Mavericks, le certificat et la clé privée qui ont été acquis le plus récemment sont retirés du trousseau. Le certificat d’origine, à présent dissocié de sa clé privée, n’est pas supprimé automatiquement, mais peut l’être manuellement.

Si le profil utilisé pour obtenir le certificat contient également d’autres entités liées au certificat obtenu (Réseau : authentification EAP-TLS, VPN : authentification à la demande par certificat, etc), le renouvellement du certificat entraîne également la mise à jour des configurations associées.

Une fois un certificat renouvelé, le profil installé est associé au nouveau certificat. Le renouvellement d’un certificat n’entraîne pas l’installation ou la création d’un profil supplémentaire.

Date de publication: