Brug af beskrivelsesbaseret certifikatfornyelse i macOS
macOS Catalina og tidligere versioner omfatter support til at forny certifikater, der stammer fra en konfigurationsbeskrivelse.
Du kan bruge macOS til at forny din certifikatregistrering med din konfigurationsbeskrivelse vha. to metoder:
SCEP (Simple certificate enrollment protocol), der ofte benytter en NDES (Network Device Enrollment Service) fra Microsoft-nøglecenteret (CA) (NDES).
DCOM/RPC (ADCertificate), der bygger på et Microsoft Windows Server-nøglecenter (CA).
Om certifikater
I macOS kan du hente og forny dit certifikat med den samme beskrivelse. macOS giver dig besked, når et certifikat nærmer sig sin udløbsdato:
Du får en påmindelse, når certifikatet er 15 dage fra udløbsdatoen.
Når et certifikat er mindre end 15 dage fra sin udløbsdato, vises et banner i Notifikationscentret. Denne notifikation gentages én gang om dagen, indtil certifikatet udløber, eller du fornyer eller fjerner det.
Hvis du vil opdatere et certifikat, skal du gå til ruden Beskrivelser i Systemindstillinger, klikke på certifikatbeskrivelsen og derefter klikke på Opdater.
Fornyelse med ADCertificate
Gå til ruden Beskrivelser i Systemindstillinger, klik på knappen Opdater for at oprette en ny privat nøgle. Den nye private nøgle bruges til at underskrive den certifikatanmodning, der bliver sendt til nøglecentret. Det nye certifikat fra nøglecentret parres med den nye private nøgle.
Det oprindelige certifikat og den oprindelige private nøgle, der blev oprettet, da beskrivelsen blev installeret, forbliver i nøgleringen.
Læs mere om, hvordan du automatisk fornyer certifikater, der leveres via en konfigurationsbeskrivelse.
Fornyelse med SCEP
Klik på knappen Opdater i ruden Beskrivelser i Systemindstillinger. Den nuværende private nøgle bruges til at underskrive den certifikatanmodning, der bliver sendt til nøglecentret. Når nøglecentret fornyer certifikatet, parres det med den oprindelige private nøgle.
Det originale certifikat, der blev oprettet, da beskrivelsen blev installeret, forbliver i nøgleringen.
Fornyelse gennem kommandolinjen
I macOS 10.12 Sierra og nyere versioner kan du forny ADCertificate- og SCEP-beskrivelsesgenererede certifikater med kommandoen /usr/bin/profiles
. Brug følgende syntaks i kommandolinjen:
profiles -W -p
Du kan finde værdien "profileIdentifier" ved at oprette en oversigt over de installerede beskrivelser med -L-kommandoargumentet.
Indstil meddelelser om fornyelse
Yosemite og nyere versioner af macOS viser en daglig notifikation, når der er mindre end 14 dage til, at certifikatet udløber.
Du kan ændre tidspunktet for den daglige notifikation med to konfigurationsparametre kaldet CertificateRenewalTimeInterval og CertificateRenewalTimePercent:
Parameter | Anvendelsesmetode | Tilladte værdier | Værditype |
CertificateRenewalTimeInterval | Profile Manager-konfigurationsbeskrivelse: ADCert eller SCEP | Mere end 14 dage, eller mindre end certifikatets maksimale levetid i dage | Dage (heltal) |
CertificateRenewalTimePercent | /usr/sbin/defaults | Mellem 1 og 50 | Procentdel (heltal) |
Du kan anvende CertificateRenewalTimePercent med en syntaks som følgende:
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
Du kan bruge disse to indstillinger sammen:
Hvis CertificateRenewalTimeInterval er defineret i beskrivelsen, skal du bruge den værdi.
Hvis CertificateRenewalTimeInterval ikke er defineret i beskrivelsen, men er defineret på klienten, skal du bruge værdien af CertificateRenewalTimePercent.
Hvis ingen af disse værdier er defineret, sættes tidsintervallet til 14 dage.
Læs mere
Den beskrivelse, du brugte til at oprette ADCert- og SCEP-certifikatet, kan blive fjernet. Hvis du bruger Mavericks eller en nyere version af macOS, fjernes det nyeste certifikat og den nyeste private nøgle, men ikke det oprindelige certifikat. Du er nødt til at slette det.
Den beskrivelse, du brugte til at få certifikatet, kan have andre data tilknyttet certifikatet. Eksempler på data omfatter netværk: EAP-TLS, VPN: certifikatbaseret OnDemand-godkendelse. Når certifikatet fornys, opdateres de afhængige konfigurationer med det nye certifikat.
Når et certifikat fornys, knyttes den installerede protokol til det nye certifikat. Når et certifikat fornys, installeres eller oprettes der ikke yderligere beskrivelser.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.