OS X Mavericks: Profilbasierte Zertifikatserneuerung

OS X Mavericks führt eine Unterstützung für die Erneuerung von Zertifikaten ein, die über das Konfigurationsprofil erworben wurden.

OS X unterstützt zwei Methoden der Zertifikatsregistrierung über das Konfigurationsprofil: das Simple Certificate Enrollment Protocol (SCEP) und DCOM/RPC (ADCertificate). ADCertificate stützt sich auf eine Microsoft Windows Server-Zertifizierungsstelle. SCEP verwendet oft den Network Device Enrollment Service (NDES) einer Microsoft-Zertifizierungsstelle. 

Bei OS X Mavericks können über ein Profil erworbene Zertifikate über dasselbe installierte Profil erneuert werden.  Wenn das Zertifikat in fünfzehn Tagen abläuft, zeigt das Zertifikatsprofil im Bereich "Profile" der Systemeinstellungen die Taste "Aktualisieren" an:

 

 
Die Mitteilungszentrale in Mavericks zeigt ein Banner an, wenn es Zeit ist, das Zertifikat zu erneuern (während der 15 Tage vor Ablauf).
 
Die Benachrichtigung wird einmal täglich wiederholt, bis das Zertifikat abgelaufen ist oder entsprechende Schritte unternommen wurden.
 
ADCertificate RENEWAL
Klicken Sie auf die Taste "Aktualisieren" im Bereich "Profile" der Systemeinstellungen. Es wird ein neuer privater Schlüssel erstellt und zum Signieren der Zertifikatsanforderung verwendet, die an die Zertifizierungsstelle gesendet wird. Nach Erhalt des neuen Zertifikats von der Zertifizierungsstelle wird es dem neuen privaten Schlüssel zugeordnet.
 
Das Originalzertifikat und der private Schlüssel, welche bei der Installation des Profils erstellt wurden, verbleiben im Schlüsselbund.
 
SCEP-ERNEUERUNG
Klicken Sie auf die Taste "Aktualisieren" im Bereich "Profile" der Systemeinstellungen. Der existierende private Schlüssel wird verwendet, um die an die Zertifizierungsstelle gesendete Zertifikatsanforderung zu signieren. Nach Erhalt des erneuerten Zertifikats von der Zertifizierungsstelle wird es dem originalen privaten Schlüssel zugeordnet.
 
Das Originalzertifikat, das bei der Installation des Profils erstellt wurde, verbleibt im Schlüsselbund.

Wenn das Profil, das zum Erhalt des ADCert- oder SCEP-Zertifikats verwendet wurde, aus Mavericks entfernt wird, werden das zuletzt erhaltene Zertifikat und der private Schüssel aus dem Schlüsselbund entfernt, in dem sie sich befinden. Das Originalzertifikat, das keinen zugehörigen privaten Schlüssel mehr hat, wird nicht entfernt und kann manuell gelöscht werden.

Wenn das Profil, das zur Erlangung des Zertifikats verwendet wurde, auch andere Payloads enthält, die mit dem erhaltenen Zertifikat verknüpft sind (Netzwerk: EAP-TLS, VPN: OnDemand-zertifikatsbasierte Authentifizierung usw.); wenn das Zertifikat erneuert wird, werden die abhängigen Konfigurationen für das neue Zertifikat aktualisiert.

Nachdem ein Zertifikat erneuert wurde, wird das installierte Profil mit dem neuen Zertifikat verknüpft.  Als Ergebnis der Zertifikatserneuerung werden keine zusätzlichen Profile installiert oder erstellt.

Veröffentlichungsdatum: