استخدام تجديد الشهادة بناءً على الملف التعريف في macOS

تحتوي الإصدارات الحديثة من macOS على دعم لتجديد الشهادات التي يتم الحصول عليها من ملف تعريف التكوين.

يمكنك استخدام macOS لتجديد تسجيل الشهادة باستخدام ملف تعريف التكوين عبر طريقتين:

  • بروتوكول تسجيل الشهادة البسيط (SCEP) الذي غالبًا ما يستفيد من خدمة تسجيل أجهزة الشبكة في مرجع مصدّق منMicrosoft (CA) (NDES).
  • شهادة DCOM/RPC (ADCertificate) التي تعتمد على المرجع المصدّق (CA) لـ Microsoft Windows Server. 

نبذة حول الشهادات

في macOS، يمكنك الحصول على الشهادة وتجديدها باستخدام ملف التعريف نفسه. وستحصل على تنبيه من macOS عندما تكون صلاحية الشهادة على وشك الانتهاء:

  • عندما يتبقى 15 يومًا على انتهاء صلاحية الشهادة، ستحصل على تذكير. 
  • وعندما يتبقى أقل من 15 يومًا على انتهاء صلاحية الشهادة، سيظهر شعار في "مركز الإشعارات". سيتكرر ظهور هذا الإشعار مرة واحدة كل يوم حتى تنتهي صلاحية الشهادة أو تقوم بتحديثها أو إزالتها.

لتحديث شهادة، يمكنك النقر على ملف تعريف الشهادة في الجزء الخاص بـ "ملفات التعريف" ضمن "تفضيلات النظام"، والنقر بعد ذلك على "تحديث". 

التجديد باستخدام ADCertificate

في الجزء الخاص بـ "ملفات التعريف" ضمن "تفضيلات النظام"، انقر على الزر "تحديث" لإنشاء مفتاح خاص جديد. يتم استخدام المفتاح الخاص الجديد لتوقيع طلب الشهادة الذي تم إرساله إلى المرجع المصدّق. ويتم إقران الشهادة الجديدة من المرجع المصدّق مع المفتاح الخاص الجديد.

وتبقى الشهادة الأصلية والمفتاح الخاص اللذان تم إنشاؤهما عندما تم تثبيت ملف التعريف، في سلسلة المفاتيح.

تعرّف على كيفية إجراء تجديد تلقائي للشهادات التي تم تسليمها عبر ملف تعريف التكوين.

التجديد باستخدام SCEP

انقر على زر "تحديث" ضمن جزء "ملفات التعريف" في "تفضيلات النظام". يتم استخدام المفتاح الخاص الحالي لتوقيع طلب الشهادة الذي تم إرساله إلى المرجع المصدّق. عندما يجدّد المرجع المصدّق الشهادة، يتم إقرانها مع المفتاح الخاص الأصلي.

وتبقى الشهادة الأصلية التي تم إنشاؤها عند تثبيت ملف التعريف في سلسلة المفاتيح.

التجديد من خلال سطر الأوامر

في macOS 10.12 Sierra والإصدارات الأحدث، يمكنك تجديد ADCertificate والشهادات التي تم إنشاؤها باستخدام ملف تعريف SCEP من خلال الأمر /usr/bin/profiles. يمكنك استخدام البنية التالية في سطر الأوامر:

profiles -W -p <profileIdentifier value>

يمكنك العثور على قيمة profileIdentifier من خلال إدراج ملفات التعريف المثبّتة مع وسيطة الأمر L-.

إعداد إشعارات التجديد

يعرض Yosemite والإصدارات الأحدث من شاشة macOS إشعارًا يوميًا عندما يتبقى على انتهاء صلاحية الشهادة أقل من 14 يومًا.

ويمكنك تغيير توقيت الإشعار اليومي باستخدام معلمتين للتكوين يُعرفان باسم CertificateRenewalTimeInterval وCertificateRenewalTimePercent:

المعلمة  طريقة التطبيق القيم المسموح بها نوع القيمة
CertificateRenewalTimeInterval ملف تعريف تكوين "مدير ملف التعريف": ADCert أو SCEP أكثر من 14 يومًا، أو أقل من الحد الأقصى لمدة الشهادة بالأيام أيام (عدد صحيح)
CertificateRenewalTimePercent /usr/sbin/defaults بين 1 و50 نسبة مئوية (عدد صحيح)

يمكنك تطبيق CertificateRenewalTimePercent باستخدام بنية مثل:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

يمكنك استخدام هذين الإعدادين معًا:

  • إذا تم تحديد CertificateRenewalTimeInterval في ملف التعريف، فاستخدم تلك القيمة.
  • إذا لم يتم تحديد CertificateRenewalTimeInterval في ملف التعريف، ولكن تم تحديده على العميل، فاستخدم قيمة CertificateRenewalTimePercent.

إذا لم يتم تحديد أي من القيمتين، فسيتم ضبط المهلة الزمنية على 14 يومًا.

تعرّف على المزيد

قد تتم إزالة ملف التعريف الذي استخدمته في إنشاء شهادة ADCert أو SCEP. إذا كنت تستخدم Mavericks أو إصدارًا أحدث من macOS، فستتم إزالة أحدث شهادة والمفتاح الخاص من سلسلة المفاتيح، ولكن لن تتم إزالة الشهادة الأصلية، بل يجب عليك حذفها.

قد يتضمّن ملف التعريف الذي استخدمته في الحصول على الشهادة حمولات أخرى مرتبطة بالشهادة. ومن أمثلة هذه الحمولات المصادقة التي تستند إلى شهادة Network: EAP-TLS وVPN: OnDemand. عندما يتم تجديد الشهادة، يتم تحديث التكوينات المستقلة للشهادة الجديدة.

بعد تجديد شهادة ما، يتم ربط ملف التعريف المثبّت بالشهادة الجديدة. عندما يتم تجديد الشهادة، لن يتم تثبيت أو إنشاء ملفات تعريف إضافية.

يتمّ تقديم المعلومات حول المنتجات التي لم تُصنّعها شركة Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم شركة Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. المخاطر ملازمة لاستخدام الإنترنت. للحصول على مزيد من المعلومات، يُمكنك الاتصال بالبائع. قد تكون أسماء الشركات والمنتجات الأخرى علامات تجارية لمالكيها المعنيين.

تاريخ النشر: