Brug af beskrivelsesbaseret certifikatfornyelse i macOS

Du kan bruge macOS til at forny din certifikatregistrering med din konfigurationsbeskrivelse vha. to metoder:

• SCEP (Simple certificate enrollment protocol), der ofte benytter en NDES (Network Device Enrollment Service) fra Microsoft-nøglecenteret (CA) (NDES).
• DCOM/RPC (ADCertificate), der bygger på en Microsoft Windows Server-nøglecenter (CA). 

I macOS kan du hente og forny dit certifikat med den samme beskrivelse. macOS giver dig besked, når et certifikat nærmer sig sin udløbsdato:

• Du får en påmindelse, når certifikatet er 15 dage fra udløbsdatoen. 
• Når et certifikat er mindre end 15 dage fra sin udløbsdato, vises et banner i Meddelelsescentret. Denne meddelelse gentages én gang om dagen, indtil certifikatet udløber, eller du fornyer eller fjerner det.

Hvis du vil opdatere et certifikat, skal du gå til ruden Beskrivelser i Systemindstillinger, klikke på certifikatbeskrivelsen, og klik derefter på Opdater. 

Gå til ruden Beskrivelser i Systemindstillinger, klik på knappen Opdater for at oprette en ny privat nøgle. Den nye private nøgle bruges til at underskrive den certifikatanmodning, der bliver sendt til CA'en. Det nye certifikat fra CA'en parres med den nye private nøgle.

Det oprindelige certifikat og den oprindelige private nøgle, der blev oprettet, da beskrivelsen blev installeret, forbliver i nøgleringen.

Læs mere om, hvordan du automatisk fornyer certifikater, der leveres via en konfigurationsbeskrivelse.

Klik på knappen Opdater i ruden Beskrivelser i Systemindstillinger. Den nuværende private nøgle bruges til at underskrive den certifikatanmodning, der bliver sendt til CA'en. Når CA'en fornyer certifikatet, parres det med den oprindelige private nøgle.

Det originale certifikat, der blev oprettet, da beskrivelsen blev installeret, forbliver i nøgleringen.

I macOS 10.12 Sierra og nyere kan du forny ADCertificate- og SCEP beskrivelsesgenererede certifikater med kommandoen/usr/bin/profiles. Brug den følgende syntaks i kommandolinjen:

profiles -W -p <profileIdentifier value>

Du kan finde værdien "profileIdentifier" ved at lave en oversigt over de installerede beskrivelser med -L-kommando-argumentet.

Yosemite og nyere versioner af macOS viser en daglig meddelelse, når der er mindre end 14 dage til, at certifikatet udløber.

Du kan ændre tidspunktet for den daglige meddelelse med to konfigurationsparametre kaldet CertificateRenewalTimeInterval og CertificateRenewalTimePercent:

Du kan anvende CertificateRenewalTimePercent med en syntaks som den følgende:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Du kan bruge disse to indstillinger sammen:

• Hvis CertificateRenewalTimeInterval er defineret i beskrivelsen, skal du bruge den værdi.
• Hvis CertificateRenewalTimeInterval ikke er defineret i beskrivelsen, men er defineret på klienten, skal du bruge værdien af CertificateRenewalTimePercent.

Hvis ingen af disse værdier er defineret, sættes tidsintervallet til 14 dage.

Den beskrivelse, du brugte til at oprette ADCert- og SCEP-certifikatet, kan blive fjernet. Hvis du bruger Mavericks eller en nyere version af macOS, fjernes det nyeste certifikat og den nyeste private nøgle, men det gør det oprindelige certifikat ikke. Du er nødt til at slette det.

Den beskrivelse, du brugte til at få certifikatet, kan have andre data tilknyttet certifikatet. Eksempler på data omfatter netværk: EAP-TLS, VPN: certifikatbaseret OnDemand-godkendelse. Når certifikatet fornys, opdateres de afhængige konfigurationer med det nye certifikat.

Når et certifikat fornys, knyttes den installerede protokol til det nye certifikat. Når et certifikat fornys, installeres eller oprettes der ikke yderligere beskrivelser.