استخدام تجديد الشهادة بناءً على الملف التعريف في macOS

يتضمن نظام التشغيل macOS Catalina والإصدارات الأقدم دعمًا لتجديد الشهادات التي تم الحصول عليها من ملف تعريف التكوين.

يمكنك استخدام macOS لتجديد تسجيل الشهادة باستخدام ملف تعريف التكوين عبر طريقتين:

• بروتوكول تسجيل الشهادة البسيط (SCEP) الذي غالبًا ما يستفيد من خدمة تسجيل أجهزة الشبكة في مرجع مصدّق من Microsoft‏ (CA‏) (NDES).

• شهادة DCOM/RPC‏ (ADCertificate) التي تعتمد على المرجع المصدّق (CA) لـ Microsoft Windows Server.

نبذة حول الشهادات

في macOS، يمكنك الحصول على الشهادة وتجديدها باستخدام ملف التعريف نفسه. وستحصل على تنبيه من macOS عندما تكون صلاحية الشهادة على وشك الانتهاء:

• عندما يتبقى 15 يومًا على انتهاء صلاحية الشهادة، ستحصل على تذكير.

• وعندما يتبقى أقل من 15 يومًا على انتهاء صلاحية الشهادة، سيظهر شعار في "مركز الإشعارات". سيتكرر ظهور هذا الإشعار مرة واحدة كل يوم حتى تنتهي صلاحية الشهادة أو تقوم بتحديثها أو إزالتها.

لتحديث شهادة، يمكنك النقر على ملف تعريف الشهادة في الجزء الخاص بـ "ملفات التعريف" ضمن "تفضيلات النظام"، والنقر بعد ذلك على "تحديث".

التجديد باستخدام ADCertificate

في الجزء الخاص بـ "ملفات التعريف" ضمن "تفضيلات النظام"، انقر على الزر "تحديث" لإنشاء مفتاح خاص جديد. يتم استخدام المفتاح الخاص الجديد لتوقيع طلب الشهادة الذي تم إرساله إلى المرجع المصدّق. ويتم إقران الشهادة الجديدة من المرجع المصدّق مع المفتاح الخاص الجديد.

وتبقى الشهادة الأصلية والمفتاح الخاص اللذان تم إنشاؤهما عندما تم تثبيت ملف التعريف، في سلسلة المفاتيح.

تعرّف على كيفية إجراء تجديد تلقائي للشهادات التي تم تسليمها عبر ملف تعريف التكوين.

التجديد باستخدام SCEP

انقر على زر "تحديث" ضمن جزء "ملفات التعريف" في "تفضيلات النظام". يتم استخدام المفتاح الخاص الحالي لتوقيع طلب الشهادة الذي تم إرساله إلى المرجع المصدّق. عندما يجدّد المرجع المصدّق الشهادة، يتم إقرانها مع المفتاح الخاص الأصلي.

وتبقى الشهادة الأصلية التي تم إنشاؤها عند تثبيت ملف التعريف في سلسلة المفاتيح.

التجديد من خلال سطر الأوامر

في macOS 10.12 Sierra والأحدث، يمكنك تجديد ADCertificate والشهادات التي تم إنشاؤها باستخدام ملف تعريف SCEP باستخدام الأمر ‎/usr/bin/profiles. يمكنك استخدام البنية التالية في سطر الأوامر:

profiles -W -p

يمكنك العثور على قيمة profileIdentifier من خلال إدراج ملفات التعريف المثبّتة مع وسيطة الأمر L-.

إعداد إشعارات التجديد

يعرض Yosemite والإصدارات الأحدث من شاشة macOS إشعارًا يوميًا عندما يتبقى على انتهاء صلاحية الشهادة أقل من 14 يومًا.

ويمكنك تغيير توقيت الإشعار اليومي باستخدام معلمتين للتكوين يُعرفان باسم CertificateRenewalTimeInterval وCertificateRenewalTimePercent:

يمكنك تطبيق CertificateRenewalTimePercent باستخدام بنية مثل:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

يمكنك استخدام هذين الإعدادين معًا:

• إذا تم تحديد CertificateRenewalTimeInterval في ملف التعريف، فاستخدم تلك القيمة.

• إذا لم يتم تحديد CertificateRenewalTimeInterval في ملف التعريف، ولكن تم تحديده على العميل، فاستخدم قيمة CertificateRenewalTimePercent.

إذا لم يتم تحديد أي من القيمتين، فسيتم ضبط المهلة الزمنية على 14 يومًا.

تعرّف على المزيد

قد تتم إزالة ملف التعريف الذي استخدمته في إنشاء شهادة ADCert أو SCEP. إذا كنت تستخدم Mavericks أو إصدارًا أحدث من macOS، فستتم إزالة أحدث شهادة والمفتاح الخاص من سلسلة المفاتيح، ولكن لن تتم إزالة الشهادة الأصلية، بل يجب عليك حذفها.

قد يتضمّن ملف التعريف الذي استخدمته في الحصول على الشهادة حمولات أخرى مرتبطة بالشهادة. ومن أمثلة هذه الحمولات المصادقة التي تستند إلى شهادة Network: EAP-TLS وVPN‏: OnDemand. عندما يتم تجديد الشهادة، يتم تحديث التكوينات المستقلة للشهادة الجديدة.

بعد تجديد شهادة ما، يتم ربط ملف التعريف المثبّت بالشهادة الجديدة. عندما يتم تجديد الشهادة، لن يتم تثبيت أو إنشاء ملفات تعريف إضافية.