Obnovování profilových certifikátů v macOS

macOS Catalina a starší verze zahrnují podporu pro obnovení certifikátů získaných z konfiguračního profilu.

Existují dva způsoby, jak v macOS obnovit registraci certifikátu pomocí konfiguračního profilu:

• Protokol SCEP (Simple certificate enrollment protocol), který často používá certifikační autoritu Microsoftu zvanou Služba zápisu síťových zařízení (NDES).

• Protokol DCOM/RPC (ADCertificate), který používá certifikační autoritu Microsoft Windows Serveru.

Jak fungují certifikáty

V macOS můžete certifikát získat i obnovovat pomocí stejného profilu. macOS vás upozorní, až se certifikát bude blížit ke konci své platnosti:

• Až bude certifikát 15 dní před koncem platnosti, zobrazí se vám připomínka.

• Když certifikátu zbývá méně než 15 dní platnosti, zobrazuje se v Oznamovacím centru banner. Toto oznámení se vám bude zobrazovat každý den, dokud certifikát nevyprší nebo ho neobnovíte nebo neodstraníte.

Certifikát aktualizujete tak, že v Předvolbách systému na panelu Profily kliknete na profil certifikátu a potom na Aktualizovat.

Obnovení pomocí ADCertificate

V Předvolbách systému na panelu Profily klikněte na tlačítko Aktualizovat, čímž si vytvoříte nový privátní klíč. Novým privátním klíčem se podepíše žádost o certifikát, která se pošle certifikační autoritě. Nový certifikát od certifikační autority se pak spáruje s novým privátním klíčem.

Původní certifikát a privátní klíč, které byly vytvořeny při instalaci profilu, zůstanou ve svazku klíčů.

Přečtěte si, jak automaticky obnovovat certifikáty získávané z konfiguračního profilu.

Obnovení pomocí SCEP

V Předvolbách systému na panelu Profily klikněte na tlačítko Aktualizovat. Certifikační autoritě se pošle žádost o certifikát, podepsaná aktuálním privátním klíčem. Jakmile certifikační autorita certifikát obnoví, certifikát se spáruje s původním privátním klíčem.

Původní certifikát, který byl vytvořen při instalaci profilu, zůstane ve svazku klíčů.

Obnovení pomocí příkazového řádku

V macOS 10.12 Sierra a novějším můžete certifikáty vygenerované přes profily ADCertificate a SCEP obnovovat i pomocí příkazu /usr/bin/profiles. V příkazovém řádku použijte tuto syntaxi:

profiles -W -p

Hodnotu „profileIdentifier“ zjistíte tak, že si stejným příkazem pomocí argumentu -L necháte vypsat všechny nainstalované profily.

Nastavení oznámení o obnově

Yosemite a novější verze macOS zobrazují každý den oznámení o certifikátech, kterým skončí platnost za méně než 14 dní.

Čas těchto každodenních oznámení můžete změnit pomocí dvou konfiguračních parametrů: CertificateRenewalTimeInterval a CertificateRenewalTimePercent:

Parametr CertificateRenewalTimePercent aplikujete pomocí této syntaxe:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Obě nastavení se dají použít i najednou:

• Pokud je parametr CertificateRenewalTimeInterval zadefinovaný v profilu, použije se zadefinovaná hodnota.

• Pokud parametr CertificateRenewalTimeInterval není zadefinovaný v profilu, ale je zadefinovaný na straně klienta, použije se hodnota CertificateRenewalTimePercent.

Pokud není zadefinovaná ani jedna z těchto hodnot, nastaví se časový interval na 14 dní.

Další informace

Může se stát, že profil, pomocí kterého jste certifikát ADCert nebo SCEP vytvořili, bude odebrán. Pokud máte Mavericks nebo novější verzi macOS, nejnovější certifikát a privátní klíč se odebírají ze svazku klíčů, ale původní certifikát v něm zůstává. Musíte ho smazat.

Profil, pomocí kterého jste certifikát vytvořili, může obsahovat i jiné datové sady propojené s certifikátem. K příkladům takových datových sad patří třeba ověřování Network: EAP-TLS nebo VPN: OnDemand založené na certifikátech. Při obnovení certifikátu se závislé konfigurace aktualizují, aby používaly nový certifikát.

Po obnovení certifikátu se nainstalovaný profil přidruží k novému certifikátu. Při obnovení certifikátu se nenainstalují ani nevytvoří žádné další profily.