Brug af beskrivelsesbaseret certifikatfornyelse i macOS

Nuværende versioner af macOS omfatter support til at forny certifikater, der stammer fra en konfigurationsbeskrivelse.

Du kan bruge macOS til at forny din certifikatregistrering med din konfigurationsbeskrivelse vha. to metoder:

  • SCEP (Simple certificate enrollment protocol), der ofte benytter en NDES (Network Device Enrollment Service) fra Microsoft-nøglecenteret (CA) (NDES).
  • DCOM/RPC (ADCertificate), der bygger på en Microsoft Windows Server-nøglecenter (CA). 

Om certifikater

I macOS kan du hente og forny dit certifikat med den samme beskrivelse. macOS giver dig besked, når et certifikat nærmer sig sin udløbsdato:

  • Du får en påmindelse, når certifikatet er 15 dage fra udløbsdatoen. 
  • Når et certifikat er mindre end 15 dage fra sin udløbsdato, vises et banner i Meddelelsescentret. Denne meddelelse gentages én gang om dagen, indtil certifikatet udløber, eller du fornyer eller fjerner det.

Hvis du vil opdatere et certifikat, skal du gå til ruden Beskrivelser i Systemindstillinger, klikke på certifikatbeskrivelsen, og klik derefter på Opdater. 

Fornyelse med ADCertificate

Gå til ruden Beskrivelser i Systemindstillinger, klik på knappen Opdater for at oprette en ny privat nøgle. Den nye private nøgle bruges til at underskrive den certifikatanmodning, der bliver sendt til CA'en. Det nye certifikat fra CA'en parres med den nye private nøgle.

Det oprindelige certifikat og den oprindelige private nøgle, der blev oprettet, da beskrivelsen blev installeret, forbliver i nøgleringen.

Læs mere om, hvordan du automatisk fornyer certifikater, der leveres via en konfigurationsbeskrivelse.

Fornyelse med SCEP

Klik på knappen Opdater i ruden Beskrivelser i Systemindstillinger. Den nuværende private nøgle bruges til at underskrive den certifikatanmodning, der bliver sendt til CA'en. Når CA'en fornyer certifikatet, parres det med den oprindelige private nøgle.

Det originale certifikat, der blev oprettet, da beskrivelsen blev installeret, forbliver i nøgleringen.

Fornyelse gennem kommandolinjen

I macOS 10.12 Sierra og nyere kan du forny ADCertificate- og SCEP beskrivelsesgenererede certifikater med kommandoen/usr/bin/profiles. Brug den følgende syntaks i kommandolinjen:

profiles -W -p <profileIdentifier value>

Du kan finde værdien "profileIdentifier" ved at lave en oversigt over de installerede beskrivelser med -L-kommando-argumentet.

Indstil meddelelser om fornyelse

Yosemite og nyere versioner af macOS viser en daglig meddelelse, når der er mindre end 14 dage til, at certifikatet udløber.

Du kan ændre tidspunktet for den daglige meddelelse med to konfigurationsparametre kaldet CertificateRenewalTimeInterval og CertificateRenewalTimePercent:

Parameter  Anvendelsesmetode Tilladte værdier Værditype
CertificateRenewalTimeInterval Profile Manager-konfigurationsbeskrivelse: ADCert eller SCEP Mere end 14 dage, eller mindre end certifikatets maksimale levetid i dage Dage (heltal)
CertificateRenewalTimePercent /usr/sbin/defaults Mellem 1 og 50 Procentdel (heltal)

Du kan anvende CertificateRenewalTimePercent med en syntaks som den følgende:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Du kan bruge disse to indstillinger sammen:

  • Hvis CertificateRenewalTimeInterval er defineret i beskrivelsen, skal du bruge den værdi.
  • Hvis CertificateRenewalTimeInterval ikke er defineret i beskrivelsen, men er defineret på klienten, skal du bruge værdien af CertificateRenewalTimePercent.

Hvis ingen af disse værdier er defineret, sættes tidsintervallet til 14 dage.

Læs mere

Den beskrivelse, du brugte til at oprette ADCert- og SCEP-certifikatet, kan blive fjernet. Hvis du bruger Mavericks eller en nyere version af macOS, fjernes det nyeste certifikat og den nyeste private nøgle, men det gør det oprindelige certifikat ikke. Du er nødt til at slette det.

Den beskrivelse, du brugte til at få certifikatet, kan have andre data tilknyttet certifikatet. Eksempler på data omfatter netværk: EAP-TLS, VPN: certifikatbaseret OnDemand-godkendelse. Når certifikatet fornys, opdateres de afhængige konfigurationer med det nye certifikat.

Når et certifikat fornys, knyttes den installerede protokol til det nye certifikat. Når et certifikat fornys, installeres eller oprettes der ikke yderligere beskrivelser.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: