Obnovování profilových certifikátů v macOS

Aktuální verze macOS podporují obnovování certifikátů získaných z konfiguračního profilu.

Existují dva způsoby, jak v macOS obnovit registraci certifikátu pomocí konfiguračního profilu:

  • Protokol SCEP (Simple certificate enrollment protocol), který často používá certifikační autoritu Microsoftu zvanou Služba zápisu síťových zařízení (NDES).
  • Protokol DCOM/RPC (ADCertificate), který používá certifikační autoritu Microsoft Windows Serveru. 

Jak fungují certifikáty

V macOS můžete certifikát získat i obnovovat pomocí stejného profilu. macOS vás upozorní, až se certifikát bude blížit ke konci své platnosti:

  • Až bude certifikát 15 dní před koncem platnosti, zobrazí se vám připomínka. 
  • Když certifikátu zbývá méně než 15 dní platnosti, zobrazuje se v Oznamovacím centru banner. Toto oznámení se vám bude zobrazovat každý den, dokud certifikát nevyprší nebo ho neobnovíte nebo neodstraníte.

Certifikát aktualizujete tak, že v Předvolbách systému na panelu Profily kliknete na profil certifikátu a potom na Aktualizovat. 

Obnovení pomocí ADCertificate

V Předvolbách systému na panelu Profily klikněte na tlačítko Aktualizovat, čímž si vytvoříte nový privátní klíč. Novým privátním klíčem se podepíše žádost o certifikát, která se pošle certifikační autoritě. Nový certifikát od certifikační autority se pak spáruje s novým privátním klíčem.

Původní certifikát a privátní klíč, které byly vytvořeny při instalaci profilu, zůstanou ve svazku klíčů.

Přečtěte si, jak automaticky obnovovat certifikáty získávané z konfiguračního profilu.

Obnovení pomocí SCEP

V Předvolbách systému na panelu Profily klikněte na tlačítko Aktualizovat. Certifikační autoritě se pošle žádost o certifikát, podepsaná aktuálním privátním klíčem. Až certifikační autorita certifikát obnoví, certifikát se spáruje s původním privátním klíčem.

Původní certifikát, který byl vytvořen při instalaci profilu, zůstane ve svazku klíčů.

Obnovení pomocí příkazového řádku

V macOS 10.12 Sierra a novějším můžete certifikáty vygenerované přes profily ADCertificate a SCEP obnovovat i pomocí příkazu /usr/bin/profiles. V příkazovém řádku použijte tuto syntaxi:

profiles -W -p <profileIdentifier value>

Hodnotu „profileIdentifier“ zjistíte tak, že si stejným příkazem pomocí argumentu -L necháte vypsat všechny nainstalované profily.

Nastavení oznámení o obnově

Yosemite a novější verze macOS zobrazují každý den oznámení o certifikátech, kterým skončí platnost za méně než 14 dní.

Čas těchto každodenních oznámení můžete změnit pomocí dvou konfiguračních parametrů: CertificateRenewalTimeInterval a CertificateRenewalTimePercent:

Parametr Způsob použití Přípustné hodnoty Typ hodnoty
CertificateRenewalTimeInterval (Časový interval mezi obnovami certifikátu) Konfigurační profil v Profile Manageru – ADCert nebo SCEP Více než 14 dní nebo méně než maximální životnost certifikátu v dnech Dny (celé číslo)
CertificateRenewalTimePercent (Čas obnovy certifikátu v procentech) /usr/sbin/defaults Mezi 1 a 50 Procenta (celé číslo)

Parametr CertificateRenewalTimePercent aplikujete pomocí této syntaxe:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Obě nastavení se dají použít i najednou:

  • Pokud je parametr CertificateRenewalTimeInterval zadefinovaný v profilu, použije se zadefinovaná hodnota.
  • Pokud parametr CertificateRenewalTimeInterval není zadefinovaný v profilu, ale je zadefinovaný na straně klienta, použije se hodnota CertificateRenewalTimePercent.

Pokud není zadefinovaná ani jedna z těchto hodnot, nastaví se časový interval na 14 dní.

Další informace

Může se stát, že profil, pomocí kterého jste certifikát ADCert nebo SCEP vytvořili, bude odebrán. Pokud máte Mavericks nebo novější verzi macOS, nejnovější certifikát a privátní klíč se odebírají ze svazku klíčů, ale původní certifikát v něm zůstává. Musíte ho smazat.

Profil, pomocí kterého jste certifikát vytvořili, může obsahovat i jiné datové sady propojené s certifikátem. K příkladům takových datových sad patří třeba ověřování Network: EAP-TLS nebo VPN: OnDemand založené na certifikátech. Při obnovení certifikátu se závislé konfigurace aktualizují, aby používaly nový certifikát.

Po obnovení certifikátu se nainstalovaný profil přidruží k novému certifikátu. Při obnovení certifikátu se nenainstalují ani nevytvoří žádné další profily.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: