Obnovování profilových certifikátů v OS X

Aktuální verze OS X podporují obnovování certifikátů získaných z konfiguračního profilu.

OS X podporuje dvě metody registrace certifikátů prostřednictvím konfiguračního profilu: Protokol SCEP (Simple Certificate Enrollment) a protokol DCOM/RPC (ADCertificate). ADCertificate používá certifikační autoritu Microsoft Windows Serveru. SCEP často používá službu certifikační autority Microsoft zvanou Služba zápisu síťových zařízení (NDES).

Jak fungují certifikáty

V OS X platí, že certifikáty přijaté prostřednictvím profilu lze obnovit pomocí stejného nainstalovaného profilu. Až bude certifikátu zbývat 15 dní do vypršení platnosti, u jeho profilu na panelu Profily v Předvolbách systému se zobrazí tlačítko Aktualizovat.

Navíc se v Oznamovacím centru zobrazí banner s upozorněním, že certifikát je třeba obnovit (tj. zbývá méně než 15 dní do vypršení).

Toto oznámení se vám bude zobrazovat každý den, dokud certifikát nevyprší nebo ho neobnovíte.

Obnovování certifikátů ADCertificate

Na panelu Profily v Předvolbách systému klikněte na tlačítko Aktualizovat. Vytvoří se nový privátní klíč, kterým pak bude podepsána žádost o certifikát posílaná certifikační autoritě. Až od certifikační autority přijde nový certifikát, spáruje se s novým privátním klíčem.

Původní certifikát a privátní klíč, které byly vytvořeny při instalaci profilu, zůstanou ve svazku klíčů.

Obnovování certifikátů SCEP

Na panelu Profily v Předvolbách systému klikněte na tlačítko Aktualizovat. Pomocí existujícího privátního klíče bude podepsána žádost o certifikát posílaná certifikační autoritě. Až od certifikační autority přijde obnovený certifikát, spáruje se s původním privátním klíčem.

Původní certifikát, který byl vytvořen při instalaci profilu, zůstane ve svazku klíčů.

Nastavení oznámení o obnově

Pokud přijatému certifikátu zbývá 14 nebo méně dní do vypršení, bude OS X Yosemite zobrazovat každodenní oznámení. OS X Yosemite nabízí dva konfigurační parametry, kterými toto chování můžete upravit: CertificateRenewalTimeInterval a CertificateRenewalTimePercent. Tady jsou podrobnější informace o obou:

Název parametru Způsob použití Přípustné hodnoty Typ hodnoty
CertificateRenewalTimeInterval (Časový interval mezi obnovami certifikátu) Konfigurační profil nástroje Profile Manager – ADCert nebo SCEP Více než 14 dní
Méně než maximální životnost certifikátu v dnech
Dny (celé číslo)
CertificateRenewalTimePercent (Čas obnovy certifikátu v procentech) /usr/sbin/defaults Mezi 1 a 50 Procenta (celé číslo)

Parametr CertificateRenewalTimePercent se používá pomocí příkazu s touto syntaxí:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Obě nastavení je možné použít i společně:

  1. Je-li v profilu definován parametr CertificateRenewalTimeInterval, použije se jeho hodnota.
  2. Pokud parametr CertificateRenewalTimeInterval v profilu definován *není*, ale u klienta je definován parametr CertificateRenewalTimePercent, použije se hodnota CertificateRenewalTimePercent.
  3. Není-li výslovně definován ani jeden, bude se předpokládat parametr CertificateRenewalTimeInterval s hodnotou 14 dní.

Další informace

Pokud byl z OS X Mavericks odstraněn profil, přes který byl původně daný certifikát ADCert nebo SCEP přijat, odstraní se z příslušného svazku klíčů nejnovější přijatý certifikát a jeho privátní klíč. Původní certifikát, který teď nebude mít žádný privátní klíč, se neodstraní, ale můžete ho smazat ručně.

Jestliže profil použitý k získání certifikátu obsahuje i jiné datové části související se získaným certifikátem (certifikátové ověřování v síti přes EAP-TLS nebo ve VPN síti přes OnDemand a podobně), pak se při obnovení certifikátu aktualizují i všechny závislé konfigurace, aby odpovídaly novému certifikátu.

Po obnovení certifikátu se nainstalovaný profil přidruží k novému certifikátu.  Obnova certifikátu neinstaluje ani nevytváří žádné nové profily.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: