Как да използвайте подновяването на сертификат, който е базиран на профил, в macOS
macOS Catalina и по-ранни версии включват поддръжка за подновяване на сертификати, придобити от конфигурационен профил.
Можете да използвате macOS, за да подновите записването на сертификата с вашия конфигурационен профил чрез два метода:
Опростен протокол за записване на сертификати (SCEP), който често използва услугата за записване на мрежови устройства (NDES) на сертифициращия орган (CA) на Microsoft.
DCOM/RPC (ADCertificate), който се основава на сертифициращия орган на Microsoft Windows Server (CA).
Относно сертификатите
В macOS можете да получите и подновите сертификата си със същия профил. macOS ви предупреждава, когато датата на изтичане на сертификата наближава:
Когато до датата на изтичане на сертификата остават 15 дни, получавате напомняне.
Когато до датата на изтичане на сертификата остават по-малко от 15 дни, в Notification Center (Център за известяване) се появява банер. Това известие се повтаря веднъж дневно, докато изтече срокът на валидност на сертификата или докато го актуализирате или премахнете.
За да актуализирате сертификат, в панела Profiles (Профили) на System Preferences (Системни предпочитания), щракнете върху профила на сертификата, след което щракнете върху Update (Актуализиране).
Подновяване с ADCertificate
В панела Profiles (Профили) на System Preferences (Системни предпочитания) щракнете върху бутона Update (Актуализиране), за да създадете нов частен ключ. Новият частен ключ се използва за подписване на заявката за сертификат, която се изпраща до сертифициращия орган (CA). Новият сертификат от сертифициращия орган се сдвоява с новия частен ключ.
Оригиналният сертификат и частният ключ, създадени при инсталирането на профила, остават в ключодържателя.
Научете как автоматично да подновявате сертификати, доставени чрез конфигурационен профил.
Подновяване със SCEP
Щракнете върху бутона Update (Актуализиране) в панела Profiles (Профили) на System Preferences (Системни предпочитания). Текущият частен ключ се използва за подписване на заявката за сертификат, която се изпраща на удостоверяващия орган. Когато удостоверяващият орган поднови сертификата, той го сдвоява с оригиналния частен ключ.
Оригиналният сертификат, създаден при инсталирането на профила, остава в ключодържателя.
Подновяване през командния ред
В macOS 10.12 Sierra и по-нови версии можете да подновите генерираните от профили сертификати в ADCertificate и SCEP с командата /usr/gb/profiles. Използвайте следния синтаксис в командния ред:
profiles -W -p
Можете да намерите стойността „profileIdentifier“, като изброите инсталираните профили с командния аргумент -L.
Настройване на известия за подновяване
Yosemite и по-новите версии на macOS показват ежедневно известие, когато до изтичането на валидността на сертификата остават по-малко от 14 дни.
Можете да промените ежедневното време за известяване с два конфигурационни параметъра, наричани CertificateRenewalTimeInterval и CertificateRenewalTimePercent:
Параметър | Метод на приложение | Позволени стойности | Вид стойност |
CertificateRenewalTimeInterval | Конфигурационен профил в Profile Manager: ADCert или SCEP | Над 14 дни или по-малко от максималния срок на валидност на сертификата в дни | Дни (цяло число) |
CertificateRenewalTimePercent | /usr/sbin/defaults | Между 1 и 50 | Процент (цяло число) |
Можете да приложите CertificateRenewalTimePercent със синтаксис, като този:
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
Можете да използвате тези две настройки заедно:
Ако CertificateRenewalTimeInterval е определен в профила, използвайте тази стойност.
Ако CertificateRenewalTimeInterval не е определен в профила, но е определен за клиента, използвайте стойността на CertificateRenewalTimePercent.
Ако нито една от стойностите не е зададена, времето за определяне на интервала е 14 дни.
Научете повече
Профилът, който сте използвали за създаване на сертификата ADCert или SCEP, може да бъде премахнат. Ако използвате Mavericks или по-нова версия на macOS, най-скорошният сертификат и частен ключ се премахват от ключодържателя, но оригиналният сертификат не се премахва. Трябва да го изтриете.
Профилът, който сте използвали за получаване на сертификата, може да има друго полезно съдържание, свързано със сертификата. Примерите за полезно съдържание включват Network: EAP-TLS, VPN: Удостоверяване, базирано на сертификат OnDemand. Когато сертификатът се подновява, конфигурациите на зависимост се актуализират за новия сертификат.
След подновяване на сертификата инсталираният профил се свързва с новия сертификат. При подновяване на сертификат не се инсталират или създават допълнителни профили.
Информацията за продукти, които не са произведени от Apple, или независими уебсайтове, които не са контролирани или тествани от Apple, се предоставя без препоръка или одобрение. Apple не поема никаква отговорност по отношение на подбора, производителността или използването на уебсайтове или продукти на трети страни. Apple не представя никакви становища относно точността или надеждността на уебсайтове на трети страни. Свържете се с доставчика за допълнителна информация.
