OS X understøtter to metoder til certifikatregistrering ved hjælp af en konfigurationsbeskrivelse: SCEP (Simple certificate enrollment protocol) og ADCertificate (DCOM/RPC). ADCertificate bygger på et Microsoft Windows Server-nøglecenter. SCEP bruger ofte en NDES (Network Device Enrollment Service) fra Microsoft-nøglecenteret (NDES).
Om certifikater
I OS X kan certifikater, der stammer fra en beskrivelse, fornys ved hjælp af den samme installerede beskrivelse. Når certifikatet er femten dage fra udløbsdatoen, er der sammen med certifikatbeskrivelsen i ruden Beskrivelser i Systemindstillinger en opdateringsknap:
Meddelelsescenter indeholder også et banner, når det er tid til fornyelse (15 dage inden udløb).
Denne meddelelse gentages én gang om dagen, indtil certifikatet udløber, eller det fornys.
Fornyelse af ADCertificate
Klik på knappen Opdater i ruden Beskrivelser i Systemindstillinger. Der oprettes en ny privat nøgle, som bruges til at underskrive den certifikatanmodning, der sendes til nøglecenteret. Når det nye certifikat modtages fra nøglecenteret, parres det med den nye private nøgle.
Det oprindelige certifikat og den oprindelige private nøgle, der blev oprettet, da beskrivelsen blev installeret, forbliver i nøgleringen.
Fornyelse af SCEP
Klik på knappen Opdater i ruden Beskrivelser i Systemindstillinger. Den eksisterende private nøgle bruges til at underskrive den certifikatanmodning, der sendes til nøglecenteret. Når det fornyede certifikat modtages fra nøglecenteret, parres det med den oprindelige private nøgle.
Det originale certifikat, der blev oprettet, da beskrivelsen blev installeret, forbliver i nøgleringen.
Konfiguration af meddelelser om fornyelse
OS X Yosemite viser som standard en daglig meddelelse, når der er 14 dage til udløbet af det erhvervede certifikat. OS X Yosemite indeholder to konfigurationsparametre, der kan ændre denne funktionsmåde: CertificateRenewalTimeInterval og CertificateRenewalTimePercent. Nedenfor kan du se nogle oplysninger om dem:
| Parameternavn | Anvendelsesmetode | Tilladte værdier | Værditype |
| CertificateRenewalTimeInterval | Konfigurationsbeskrivelse for beskrivelsesstyring – ADCert eller SCEP | Mere end 14 dage Mindre end certifikatets levetid i dage |
Dage (heltal) |
| CertificateRenewalTimePercent | /usr/sbin/defaults | Mellem 1 og 50 | Procentdel (heltal) |
CertificateRenewalTimePercent anvendes med syntaks på følgende måde:
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
De to indstillinger kan bruges sammen:
- Hvis CertificateRenewalTimeInterval er defineret i beskrivelsen, bruges dens værdi.
- Hvis CertificateRenewalTimeInterval IKKE er defineret i beskrivelsen, men CertificateRenewalTimePercent er defineret på klienten, bruges værdien af CertificateRenewalTimePercent.
- Hvis ingen af dem udtrykkeligt er angivet, forudsættes en værdi på 14 dage for CertificateRenewalTimeInterval.
Læs mere
Hvis den beskrivelse, der blev brugt til at erhverve ADCert- eller SCEP-certifikatet, fjernes fra Mavericks, fjernes det senest hentede certifikat og den private nøgle fra den nøglering, hvor de er anbragt. Det originale certifikat, der nu er løsrevet fra sin private nøgle, fjernes ikke og kan slettes manuelt.
Hvis den beskrivelse, der blev brugt til at erhverve certifikatet, også indeholder andre enheder, der er knyttet til det hentede certifikat (netværk: EAP-TLS, VPN: certifikatbaseret OnDemand-godkendelse osv.), opdateres de afhængige konfigurationer med det nye certifikat, når certifikatet fornys.
Når et certifikat fornys, knyttes den installerede protokol til det nye certifikat. Der installeres eller oprettes ingen yderligere beskrivelser som resultat af certifikatfornyelsen.