OS X Server: Die Zugriffskontrolle verhindert möglicherweise, dass eine Zertifikatsidentität mit den Serverdiensten arbeitet

Nach Installation einer Zertifikatsidentität im Systemschlüsselbund wird das Zertifikat in der Server-App oder in Server-Admin angezeigt. Es ist jedoch möglich, dass der Server die ausgewählten Zertifikate dennoch nicht nutzt und dass sich keine Verbindungen mit Servern, die die ausgewählten Zertifikate nutzen, herstellen lassen.

Spezifische Symptome

OS X Server

Nachdem Sie in der Server-App im Bereich "Zertifikate" das Zertifikat ausgewählt haben, kann es sein, dass das Einblendmenü zu einem zuvor eingestellten Zertifikat oder zur benutzerdefinierten Einstellung wechselt. Ein Verbindungsaufbau über dieses Zertifikat ist unter Umständen nicht möglich.

Lion Server

Es kann sein, dass nach dem Einstellen des Zertifikats im Bereich "Einstellungen" der Server-App dennoch die benutzerdefinierten Einstellungen angezeigt werden. Nachdem Sie auf die Taste "Bearbeiten" geklickt haben, um die benutzerdefinierten Einstellungen für "SSL-Zertifikat" anzuzeigen, stellen Sie u. U. fest, dass alle Dienste mit Ausnahme des Internets so eingestellt sind, dass das neue Zertifikat verwendet wird. Wenn Sie einzustellen versuchen, dass das Zertifikat für das Internet verwendet wird, ändert sich dies für einen Moment, kurz darauf erfolgt jedoch unerwarteterweise eine Rückkehr zur Einstellung ohne Zertifikat. Ein Verbindungsaufbau über dieses Zertifikat ist unter Umständen nicht möglich.

Mac OS X Server 10.6

Im Bereich "Zertifikate" von Server-Admin wird die Liste der Zertifikate angezeigt, die auf dem Server verfügbar sind. Diese umfasst das neu importierte Zertifikat. Wenn Sie die Serverdienste so einstellen, dass dieses Zertifikat verwendet wird, stellen Sie möglicherweise fest, dass die Einstellungen zwar beibehalten werden, dass ein Verbindungsaufbau über dieses Zertifikat aber unter Umständen nicht möglich ist.

So beheben Sie dieses Problem

Das in den Systemschlüsselbund importierte Zertifikat ist möglicherweise mit einer Zugriffskontrolle versehen, die verhindert, dass der Server auf die private Schlüsselkomponente der Identität zugreifen kann. Durch diese Einschränkung wird der nötige Export des privaten Schlüssels in etc/certificates verhindert.

Entfernen Sie mit der Schlüsselbundverwaltung die Einschränkungen. Lassen Sie zu, dass der private Schlüssel für die Arbeit mit Serverdiensten exportiert werden kann.

  1. Öffnen Sie unter /Programme/Dienstprogramme die "Schlüsselbundverwaltung".
  2. Wählen Sie im Bereich "Schlüsselbunde" den Systemschlüsselbund.
  3. Wählen Sie im Bereich "Kategorie" links unten die Option "Zertifikate".
  4. Klicken Sie auf den Pfeil neben dem importierten Zertifikat.
  5. Doppelklicken Sie auf den privaten Schlüssel.
  6. Wechseln Sie zum Tab "Zugriffskontrolle".
  7. Wählen Sie die Option "Allen Programmen den Zugriff ermöglichen".
  8. Klicken Sie auf "Änderungen sichern", und melden Sie sich mit einem lokalen Administratoraccount an, wenn Sie dazu aufgefordert werden.
  9. Starten Sie den Computer neu.

Sie können die Liste der installierten Zertifikate anzeigen, die bereits für Serverdienste verfügbar sind, indem Sie das Verzeichnis /etc/certificates aufrufen. Zertifikate werden nach ihrer üblichen Bezeichnung benannt, gefolgt vom SHA1-Hash aus dem Zertifikat. Für jede gültige Zertifikatsidentität sollte es vier Dateien geben: die Vertrauenskette des Zertifikats (chain.pem), das Zertifikat (cert.pem), den Schlüssel (key.pem) und das verkettete Zertifikat mit dem dazugehörigen privaten Schlüssel (concat.pem). Wenn einer der vier Bestandteile fehlt, können die Dienste nicht mit dem entsprechenden Zertifikat arbeiten.

Veröffentlichungsdatum: