OS X Server: Code-Signierungszertifikat im Profil-Manager erneuern

Wenn Sie das standardmäßige selbst signierte Zertifikat und das Code-Signierungszertifikat in OS X Server verwenden, muss das Code-Signierungszertifikat gelegentlich erneuert werden, bevor es abläuft.

 

Vorbereitung

Die Anführungszeichen der in diesem Artikel verwendeten Terminal-Befehle sind "gerade" Anführungszeichen. Manche Webbrowser, E-Mail-Programme oder Texteditoren wandeln diese möglicherweise automatisch in typografische Anführungszeichen um. Es ist wichtig, bei der Eingabe der Befehle aus diesem Artikel in Terminal.app gerade Anführungszeichen zu verwenden. In geografischen Regionen, in denen diakritische Zeichen Teil des Zertifikatnamens sind, kann die Verwendung typografischer Anführungszeichen dazu führen, dass certadmin meldet, dass das Zertifikat nicht gefunden werden kann.

OS X Mavericks

Unter OS X Mavericks erhalten Sie 30 Tage vor Ablauf des Zertifikats eine Warnmeldung in Server.app. Anschließend wird in Server.app einmal täglich eine Warnmeldung angezeigt, bis das Zertifikat erneuert wird. Die Warnmeldung beinhaltet die Taste "Erneuern", mit der Sie das Zertifikat erneuern können. 

Mac OS X Lion und OS X Mountain Lion

Für Mac OS X Lion und OS Mountain Lion gehen Sie wie folgt vor, um das Zertifikat zu erneuern.

Um die Erneuerung des Zertifikats vorzubereiten, müssen Sie zuerst einige Informationen sammeln. Sie benötigen:

  1. Den vollständigen allgemeinen Namen des Code-Signierungszertifikats
  2. Den vollständigen allgemeinen Namen des Ausstellers
  3. Die Seriennummer des Zertifikats in hexadezimaler Schreibweise

So erhalten Sie den vollständigen allgemeinen Namen des Code-Signierungszertifikats:

  1. Öffnen Sie "/Programme/Dienstprogramme/Schlüsselbundverwaltung.app".
  2. Wählen Sie auf der linken Seite unter "Schlüsselbunde" den Systemschlüsselbund.
  3. Suchen Sie Ihr Code-Signierungszertifikat. Es sollte nach dem Muster "meinserver.meinedomain.com Code-Signierungszertifikat" benannt sein, wobei meinserver.meinedomain.com" der vollständige Domainname (Fully Qualified Domain Name, FQDN) Ihres Servers ist. Es sollten zwei Einträge angezeigt werden: der private Schlüssel und das Zertifikat selbst. Doppelklicken Sie auf das Zertifikat.
  4. Suchen Sie unter "Details" den Abschnitt "Name des Inhabers" und suchen Sie in diesem Abschnitt das Feld "Allgemeiner Name", welches mit dem in der Liste aus Schritt 3 angegebenen Zertifikatsnamen übereinstimmen sollte. Notieren Sie den vollständigen Namen unter Beachtung der verwendeten Groß- und Kleinschreibung, Leerzeichen und Interpunktion.

So erhalten Sie den vollständigen allgemeinen Namen des Ausstellers:

  1. Suchen Sie im Bereich der Details desselben Zertifikats den Abschnitt "Name des Ausstellers". Suchen Sie das Feld "Allgemeiner Name" unmittelbar darunter. Der allgemeine Name des Ausstellers sollte im folgenden Format angegeben sein: "IntermediateCA_MEINSERVER.MEINEDOMAIN.COM_1",
    wobei "MEINSERVER.MEINEDOMAIN.COM" der vollständige Domainname Ihres Servers ist. Notieren Sie den vollständigen Namen unter Beachtung der verwendeten Groß- und Kleinschreibung, Leerzeichen und Interpunktion.

So erhalten Sie die Seriennummer des Zertifikats in hexadezimaler Schreibweise:

  1. Im Bereich "Details" desselben Zertifikats sollten Sie im Abschnitt "Name des Ausstellers" ein Feld "Seriennummer" sehen. Notieren Sie die Seriennummer, die in dezimaler Schreibweise angezeigt wird.
  2. Öffnen Sie "/Programme/Rechner.app".
  3. Im Rechner wählen Sie "Darstellung" > "Programmierer", um in den Programmiermodus zu wechseln.
  4. Direkt darunter und rechts neben der Ziffernanzeige des Rechners befinden sich die Tasten "8", "10", und "16". Klicken Sie auf die Taste "10", um sicherzustellen, dass der Rechner auf den Dezimalmodus eingestellt ist.
  5. Geben Sie die Seriennummer ein, die Sie in Schritt 1 ermittelt haben, zum Beispiel "6745963548".
  6. Klicken Sie auf die Taste "16", um die Zahl in Hexadezimalschreibweise zu konvertieren. Die nun angezeigte Zahl hat das Format "0x192173C1C". Notieren Sie die Nummer unter Auslassung der "0x" am Anfang der Zahlenreihe.

So erneuern Sie das Code-Signierungszertifikat in Mac OS X Lion:

  1. Öffnen Sie "/Programme/Dienstprogramme/Terminal.app".
  2. Geben Sie den folgenden Befehl ein, und verwenden Sie dabei die wie oben beschrieben gesammelten Daten. Wenn Sie die Seriennummer in Hexadezimalschreibweise eingeben, stellen Sie sicher, dass alle Buchstaben klein geschrieben sind.
    sudo /usr/sbin/certadmin --recreate-CA-signed-certificate "myserver.mydomain.com Code Signing Certificate" "IntermediateCA_MYSERVER.MYDOMAIN.COM_1" 192173c1c

So erneuern Sie das Code-Signierungszertifikat in OS X Mountain Lion:

  1. Öffnen Sie "/Programme/Dienstprogramme/Terminal.app".
  2. Geben Sie den folgenden Befehl ein, und verwenden Sie dabei die wie oben beschrieben gesammelten Daten. Wenn Sie die Seriennummer in Hexadezimalschreibweise eingeben, stellen Sie sicher, dass alle Buchstaben klein geschrieben sind.
    sudo /Applications/Server.app/Contents/ServerRoot/usr/sbin/certadmin --recreate-CA-signed-certificate "myserver.mydomain.com Code Signing Certificate" "IntermediateCA_MYSERVER.MYDOMAIN.COM_1" 192173c1c

So stellen Sie sicher, dass der Profil-Manager das neue Zertifikat verwendet:

  1. Öffnen Sie "/Programme/Server.app".
  2. Klicken Sie unter "Dienste" auf "Profil-Manager".
  3. Schalten Sie den Profil-Manager aus.
  4. Klicken Sie neben "Konfigurationsprofile signieren" auf die Taste "Bearbeiten".
  5. Wählen Sie aus der Zertifikatsliste das Zertifikat "meinserver.meinedomain.com Code-Signierungszertifikat – meinserver.meinedomain.com OD Intermediate-Zert.-Inst." aus, welches das einzige in der Liste sein sollte.
  6. Klicken Sie auf "OK".
  7. Schalten Sie den "Profil-Manager" ein.

Informationen zu iOS

iOS akzeptiert keine Aktualisierungen über den Profil-Manager, nachdem das Code-Signierungszertifikat erneuert wurde. Entfernen Sie auf jedem iOS-Gerät über den Profil-Manager das vertrauenswürdige Profil und das Registrierungsprofil unter "Einstellungen" > "Allgemein" > "Profile". Rufen Sie anschließend das Benutzerportal des Profil-Managers unter https://meinserver.meinedomain.com/meinegeräte auf, um das aktuelle vertrauenswürdige Profil zu installieren, und registrieren Sie das Gerät neu.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: