Profilbasierte Erneuerung von Zertifikaten in macOS verwenden
macOS Catalina und ältere Versionen unterstützen die Erneuerung von Zertifikaten, die über ein Konfigurationsprofil erworben wurden.
In macOS ist die Erneuerung der Zertifikatregistrierung über dein Konfigurationsprofil mit zwei Methoden möglich:
Simple Certificate Enrollment Protocol (SCEP): Bei dieser Methode wird häufig ein Network Device Enrollment Service (NDES) einer Microsoft-Zertifizierungsstelle (CA) verwendet.
DCOM/RPC (ADCertificate): Diese Methode stützt sich auf eine Zertifizierungsstelle von Microsoft Windows Server.
Informationen zu Zertifikaten
In macOS kannst du dein Zertifikat über dasselbe Profil beziehen und erneuern. Wenn das Ablaufdatum eines Zertifikats demnächst erreicht wird, erhältst du in macOS eine entsprechende Benachrichtigung:
15 Tage vor Ablauf eines Zertifikats erhältst du eine Erinnerung.
Wenn ein Zertifikat in weniger als 15 Tagen abläuft, wird in der Mitteilungszentrale ein Banner angezeigt. Diese Benachrichtigung wird einmal täglich wiederholt, bis das Zertifikat abgelaufen ist oder bis du es aktualisiert oder entfernt hast.
Wenn du ein Zertifikat aktualisieren möchtest, klicke in den Systemeinstellungen im Bereich "Profile" auf das Zertifikatprofil und dann auf "Aktualisieren".
Mithilfe von ADCertificate erneuern
Klicke in den Systemeinstellungen im Bereich "Profile" auf die Aktualisieren-Taste, um einen neuen privaten Schlüssel zu erstellen. Der neue private Schlüssel dient zum Signieren der Zertifikatsanforderung, die an die CA gesendet wird. Das neue Zertifikat der Zertifizierungsstelle wird mit dem neuen privaten Schlüssel verbunden.
Das ursprüngliche Zertifikat und der private Schlüssel, die bei der Installation des Profils erstellt wurden, verbleiben im Schlüsselbund.
Hier erfährst du, wie du über ein Konfigurationsprofil bereitgestellte Zertifikate automatisch erneuern lassen kannst.
Mithilfe von SCEP erneuern
Klicke in den Systemeinstellungen im Bereich "Profile" auf die Aktualisieren-Taste. Der aktuelle private Schlüssel dient zum Signieren der Zertifikatsanforderung, die an die CA gesendet wird. Wenn die Zertifizierungsstelle das Zertifikat erneuert, wird es mit dem ursprünglichen privaten Schlüssel verbunden.
Das ursprüngliche Zertifikat, das bei der Installation des Profils erstellt wurde, verbleibt im Schlüsselbund.
Über die Befehlszeile erneuern
In macOS 10.12 Sierra und neuer kannst du Zertifikate, die über ein Profil mithilfe von ADCertificate und SCEP erstellt wurden, mit dem Befehl /usr/bin/profiles erneuern. Verwende in der Befehlszeile die folgende Syntax:
profiles -W -p
Du findest den Wert für "Profil_ID", indem du die installierten Profile über das Befehlsargument "-L" auflistest.
Benachrichtigungen zur Erneuerung einrichten
In Yosemite und neueren macOS-Versionen wird täglich eine Benachrichtigung angezeigt, wenn das Zertifikat in weniger als 14 Tagen abläuft.
Du kannst die Zeit für die tägliche Benachrichtigung mit den beiden Konfigurationsparametern "CertificateRenewalTimeInterval" und "CertificateRenewalTimePercent" ändern:
Parameter | Anwendungsmethode | Zulässige Werte | Werttyp |
CertificateRenewalTimeInterval | Profilmanager-Konfigurationsprofil: ADCert oder SCEP | Mehr als 14 Tage oder kürzer als die maximale Gültigkeitsdauer des Zertifikats in Tagen | Tage (Ganzzahl) |
CertificateRenewalTimePercent | /usr/sbin/defaults | Zwischen 1 und 50 | Prozentsatz (Ganzzahl) |
Du kannst "CertificateRenewalTimePercent" mit der folgenden Syntax anwenden:
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
Diese beiden Einstellungen können zusammen verwendet werden:
Wenn "CertificateRenewalTimeInterval" im Profil definiert ist, verwendest du diesen Wert.
Wenn "CertificateRenewalTimeInterval" nicht im Profil, aber auf dem Client definiert ist, verwende den Wert von "CertificateRenewalTimePercent".
Wenn keiner der Werte definiert ist, wird das Zeitintervall auf 14 Tage festgelegt.
Weitere Informationen
Das Profil, das du zum Erstellen des ADCert- oder SCEP-Zertifikats verwendet hast, wird möglicherweise entfernt. In Mavericks und neueren macOS-Versionen werden das neueste Zertifikat und der neueste private Schlüssel aus dem Schlüsselbund entfernt. Das Originalzertifikat wird nicht entfernt, daher musst du es löschen.
Das Profil, das du zum Beziehen des Zertifikats verwendet hast, enthält möglicherweise weitere Payloads, die mit dem Zertifikat verknüpft sind. Beispiele für Payloads sind unter anderem Netzwerk: EAP-TLS, VPN: Zertifikatsbasierte OnDemand-Zertifizierung. Wenn das Zertifikat erneuert wird, werden die abhängigen Konfigurationen für das neue Zertifikat aktualisiert.
Nachdem ein Zertifikat erneuert wurde, wird das installierte Profil mit dem neuen Zertifikat verknüpft. Wenn ein Zertifikat erneuert wird, werden keine zusätzlichen Profile installiert oder erstellt.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.
