Profilbasierte Zertifikatserneuerung in macOS verwenden

Aktuelle Versionen von macOS unterstützen die Erneuerung von Zertifikaten, die über ein Konfigurationsprofil bezogen wurden.

In macOS können Sie die Erneuerung der Zertifikatsregistrierung für Ihr Konfigurationsprofil auf zweierlei Weise durchführen:

  • SCEP (Simple Certificate Enrollment Protocol) – hierbei wird häufig eine Microsoft Stammzertifizierungsstelle (Certificate Authority, CA) verwendet. Dabei handelt es sich um einen Registrierungsdienst für Netzwerkgeräte (NDES).
  • DCOM/RPC (ADCertificate) – stützt sich auf eine Stammzertifizierungsstelle (Certificate Authority, CA) für Microsoft Windows Server. 

Informationen zu Zertifikaten

In macOS können Sie Ihr Zertifikat über dasselbe Profil beziehen und erneuern. 15 Tage vor Ablauf Ihres Zertifikats erhalten Sie eine Erinnerung. Klicken Sie im Zertifikatsprofil innerhalb des Bereichs "Profile" in den Systemeinstellungen auf "Update". Wenn weniger als 15 Tage bis zum Ablauf Ihres Zertifikats verbleiben, wird Ihnen in der Mitteilungszentrale ein Banner gezeigt. Die Benachrichtigung wird einmal täglich wiederholt, bis das Zertifikat abgelaufen ist oder Sie handeln.

Mit ADCertificate erneuern

Klicken Sie im Bereich "Profile" der Systemeinstellungen auf die Taste "Update", um einen neuen privaten Schlüssel zu erstellen. Der neue private Schlüssel dient zum Signieren der Zertifikatsanforderung, die an die CA gesendet wird. Das neue Zertifikat von der CA ist mit dem neuen privaten Schlüssel gekoppelt.

Das Originalzertifikat und der private Schlüssel, welche bei der Installation des Profils erstellt wurden, verbleiben im Schlüsselbund.

Mit SCEP erneuern

Klicken Sie auf die Taste "Aktualisieren" im Bereich "Profile" der Systemeinstellungen. Der aktuelle private Schlüssel dient zum Signieren der Zertifikatsanforderung, die an die CA gesendet wird. Bei der Erneuerung wird das Zertifikat von der CA mit dem ursprünglichen privaten Schlüssel gekoppelt.

Das Originalzertifikat, das bei der Installation des Profils erstellt wurde, verbleibt im Schlüsselbund.

Über die Befehlszeile erneuern

In macOS 10.12 Sierra können Sie die über das ADCertificate- bzw. das SCEP-Profil erzeugten Zertifikate über den Befehl /usr/bin/profiles erneuern. Verwenden Sie die folgende Syntax in der Befehlszeile:

profiles -W -p <profileIdentifier value>

Sie finden den Wert für "profileIdentifier", indem Sie die installierten Profile über das Befehlsargument "-L" auflisten.

Benachrichtigungen zur Verlängerung einrichten

Unter Yosemite und neueren Versionen von macOS wird eine tägliche Benachrichtigung angezeigt, wenn weniger als 14 Tage bis zum Ablauf des Zertifikats verbleiben.

Sie können die tägliche Benachrichtigung über zwei Konfigurationsparameter namens "CertificateRenewalTimeInterval" und "CertificateRenewalTimePercent" ändern:

Parameter  Anwendungsmethode Zulässige Werte Werttyp
CertificateRenewalTimeInterval Profilmanager-Konfigurationsprofil: ADCert oder SCEP Mehr als 14 Tage oder weniger als die maximale Lebensdauer des Zertifikats in Tagen Tage (Ganzzahl)
CertificateRenewalTimePercent /usr/sbin/defaults Zwischen 1 und 50 Prozentsatz (Ganzzahl)

Sie können "CertificateRenewalTimePercent" mit einer Syntax wie der folgenden verwenden:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Sie können diese beiden Einstellungen gemeinsam verwenden:

  • Wenn "CertificateRenewalTimeInterval" im Profil definiert ist, verwenden Sie den entsprechenden Wert.
  • Ist "CertificateRenewalTimeInterval" im Profil nicht definiert, dafür aber auf dem Client, verwenden Sie den Wert von "CertificateRenewalTimePercent".

Wenn kein Wert definiert ist, wird das Zeitintervall auf 14 Tage festgelegt.

Weitere Informationen

Das Profil, das Sie zum Erstellen des ADCert- oder SCEP-Zertifikats verwendet haben, wird möglicherweise entfernt. Wenn Sie Mavericks oder eine neuere macOS-Version verwenden, werden das jüngste Zertifikat und der private Schlüssel aus dem Schlüsselbund entfernt. Dies gilt jedoch nicht für das Originalzertifikat. Dieses müssen Sie löschen.

Das Profil, das Sie für das Beziehen des Zertifikats verwendet haben, besitzt möglicherweise weitere, mit dem Zertifikat verknüpfte Payloads. Beispiele für Payloads sind unter anderem Netzwerk: EAP-TLS, VPN: Zertifikatsbasierte OnDemand-Zertifizierung. Bei der Erneuerung des Zertifikats werden die abhängigen Konfigurationen für das neue Zertifikat aktualisiert.

Nachdem ein Zertifikat erneuert wurde, wird das installierte Profil mit dem neuen Zertifikat verknüpft. Bei der Erneuerung eines Zertifikats werden keine zusätzlichen Profile installiert oder erstellt.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: