Brug af beskrivelsesbaseret certifikatfornyelse i macOS

macOS Catalina og tidligere versioner omfatter support til at forny certifikater, der stammer fra en konfigurationsbeskrivelse.

Du kan bruge macOS til at forny din certifikatregistrering med din konfigurationsbeskrivelse vha. to metoder:

• SCEP (Simple certificate enrollment protocol), der ofte benytter en NDES (Network Device Enrollment Service) fra Microsoft-nøglecenteret (CA) (NDES).

• DCOM/RPC (ADCertificate), der bygger på et Microsoft Windows Server-nøglecenter (CA).

Om certifikater

I macOS kan du hente og forny dit certifikat med den samme beskrivelse. macOS giver dig besked, når et certifikat nærmer sig sin udløbsdato:

• Du får en påmindelse, når certifikatet er 15 dage fra udløbsdatoen.

• Når et certifikat er mindre end 15 dage fra sin udløbsdato, vises et banner i Notifikationscentret. Denne notifikation gentages én gang om dagen, indtil certifikatet udløber, eller du fornyer eller fjerner det.

Hvis du vil opdatere et certifikat, skal du gå til ruden Beskrivelser i Systemindstillinger, klikke på certifikatbeskrivelsen og derefter klikke på Opdater.

Fornyelse med ADCertificate

Gå til ruden Beskrivelser i Systemindstillinger, klik på knappen Opdater for at oprette en ny privat nøgle. Den nye private nøgle bruges til at underskrive den certifikatanmodning, der bliver sendt til nøglecentret. Det nye certifikat fra nøglecentret parres med den nye private nøgle.

Det oprindelige certifikat og den oprindelige private nøgle, der blev oprettet, da beskrivelsen blev installeret, forbliver i nøgleringen.

Læs mere om, hvordan du automatisk fornyer certifikater, der leveres via en konfigurationsbeskrivelse.

Fornyelse med SCEP

Klik på knappen Opdater i ruden Beskrivelser i Systemindstillinger. Den nuværende private nøgle bruges til at underskrive den certifikatanmodning, der bliver sendt til nøglecentret. Når nøglecentret fornyer certifikatet, parres det med den oprindelige private nøgle.

Det originale certifikat, der blev oprettet, da beskrivelsen blev installeret, forbliver i nøgleringen.

Fornyelse gennem kommandolinjen

I macOS 10.12 Sierra og nyere versioner kan du forny ADCertificate- og SCEP-beskrivelsesgenererede certifikater med kommandoen /usr/bin/profiles. Brug følgende syntaks i kommandolinjen:

profiles -W -p

Du kan finde værdien "profileIdentifier" ved at oprette en oversigt over de installerede beskrivelser med -L-kommandoargumentet.

Indstil meddelelser om fornyelse

Yosemite og nyere versioner af macOS viser en daglig notifikation, når der er mindre end 14 dage til, at certifikatet udløber.

Du kan ændre tidspunktet for den daglige notifikation med to konfigurationsparametre kaldet CertificateRenewalTimeInterval og CertificateRenewalTimePercent:

Du kan anvende CertificateRenewalTimePercent med en syntaks som følgende:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Du kan bruge disse to indstillinger sammen:

• Hvis CertificateRenewalTimeInterval er defineret i beskrivelsen, skal du bruge den værdi.

• Hvis CertificateRenewalTimeInterval ikke er defineret i beskrivelsen, men er defineret på klienten, skal du bruge værdien af CertificateRenewalTimePercent.

Hvis ingen af disse værdier er defineret, sættes tidsintervallet til 14 dage.

Læs mere

Den beskrivelse, du brugte til at oprette ADCert- og SCEP-certifikatet, kan blive fjernet. Hvis du bruger Mavericks eller en nyere version af macOS, fjernes det nyeste certifikat og den nyeste private nøgle, men ikke det oprindelige certifikat. Du er nødt til at slette det.

Den beskrivelse, du brugte til at få certifikatet, kan have andre data tilknyttet certifikatet. Eksempler på data omfatter netværk: EAP-TLS, VPN: certifikatbaseret OnDemand-godkendelse. Når certifikatet fornys, opdateres de afhængige konfigurationer med det nye certifikat.

Når et certifikat fornys, knyttes den installerede protokol til det nye certifikat. Når et certifikat fornys, installeres eller oprettes der ikke yderligere beskrivelser.