Brug af beskrivelsesbaseret certifikatfornyelse i OS X

De aktuelle versioner af OS X omfatter understøttelse af fornyelse af certifikater, der stammer fra en konfigurationsbeskrivelse.

OS X understøtter to metoder til certifikatregistrering ved hjælp af en konfigurationsbeskrivelse: SCEP (Simple certificate enrollment protocol) og ADCertificate (DCOM/RPC). ADCertificate bygger på et Microsoft Windows Server-nøglecenter. SCEP bruger ofte en NDES (Network Device Enrollment Service) fra Microsoft-nøglecenteret (NDES).

Om certifikater

I OS X kan certifikater, der stammer fra en beskrivelse, fornys ved hjælp af den samme installerede beskrivelse. Når certifikatet er femten dage fra udløbsdatoen, er der sammen med certifikatbeskrivelsen i ruden Beskrivelser i Systemindstillinger en opdateringsknap:

Meddelelsescenter indeholder også et banner, når det er tid til fornyelse (15 dage inden udløb).

Denne meddelelse gentages én gang om dagen, indtil certifikatet udløber, eller det fornys.

Fornyelse af ADCertificate

Klik på knappen Opdater i ruden Beskrivelser i Systemindstillinger. Der oprettes en ny privat nøgle, som bruges til at underskrive den certifikatanmodning, der sendes til nøglecenteret. Når det nye certifikat modtages fra nøglecenteret, parres det med den nye private nøgle.

Det oprindelige certifikat og den oprindelige private nøgle, der blev oprettet, da beskrivelsen blev installeret, forbliver i nøgleringen.

Fornyelse af SCEP

Klik på knappen Opdater i ruden Beskrivelser i Systemindstillinger. Den eksisterende private nøgle bruges til at underskrive den certifikatanmodning, der sendes til nøglecenteret. Når det fornyede certifikat modtages fra nøglecenteret, parres det med den oprindelige private nøgle.

Det originale certifikat, der blev oprettet, da beskrivelsen blev installeret, forbliver i nøgleringen.

Konfiguration af meddelelser om fornyelse

OS X Yosemite viser som standard en daglig meddelelse, når der er 14 dage til udløbet af det erhvervede certifikat. OS X Yosemite indeholder to konfigurationsparametre, der kan ændre denne funktionsmåde: CertificateRenewalTimeInterval og CertificateRenewalTimePercent. Nedenfor kan du se nogle oplysninger om dem:

Parameternavn Anvendelsesmetode Tilladte værdier Værditype
CertificateRenewalTimeInterval Konfigurationsbeskrivelse for beskrivelsesstyring – ADCert eller SCEP Mere end 14 dage
Mindre end certifikatets levetid i dage
Dage (heltal)
CertificateRenewalTimePercent /usr/sbin/defaults Mellem 1 og 50 Procentdel (heltal)

CertificateRenewalTimePercent anvendes med syntaks på følgende måde:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

De to indstillinger kan bruges sammen:

  1. Hvis CertificateRenewalTimeInterval er defineret i beskrivelsen, bruges dens værdi.
  2. Hvis CertificateRenewalTimeInterval IKKE er defineret i beskrivelsen, men CertificateRenewalTimePercent er defineret på klienten, bruges værdien af CertificateRenewalTimePercent.
  3. Hvis ingen af dem udtrykkeligt er angivet, forudsættes en værdi på 14 dage for CertificateRenewalTimeInterval.

Læs mere

Hvis den beskrivelse, der blev brugt til at erhverve ADCert- eller SCEP-certifikatet, fjernes fra Mavericks, fjernes det senest hentede certifikat og den private nøgle fra den nøglering, hvor de er anbragt. Det originale certifikat, der nu er løsrevet fra sin private nøgle, fjernes ikke og kan slettes manuelt.

Hvis den beskrivelse, der blev brugt til at erhverve certifikatet, også indeholder andre enheder, der er knyttet til det hentede certifikat (netværk: EAP-TLS, VPN: certifikatbaseret OnDemand-godkendelse osv.), opdateres de afhængige konfigurationer med det nye certifikat, når certifikatet fornys.

Når et certifikat fornys, knyttes den installerede protokol til det nye certifikat.  Der installeres eller oprettes ingen yderligere beskrivelser som resultat af certifikatfornyelsen.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: