Zertifikate für macOS Server überprüfen

Wenn Sie Probleme mit "xscertd" oder beim Zuweisen von Zertifikaten zu Diensten haben, müssen Sie womöglich die Zugriffssteuerungen der Schlüsselbundverwaltung überprüfen.

Wenn Sie in Ihren Protokolldateien Meldungen mit Verweis auf "getCACerts" finden oder beim Zuweisen von Zertifikaten zu Diensten in macOS Server Probleme haben, verhindern die Zugriffssteuerungen womöglich, dass der Server auf die private Schlüsselkomponente der Identität zugreift.

Zugriffssteuerungen überprüfen

  1. Öffnen Sie auf dem Server die Schlüsselbundverwaltung.
  2. Wählen Sie in der linken Seitenleiste den Systemschlüsselbund aus.
  3. Wählen Sie in der linken Seitenleiste die Kategorie "Alle Objekte" aus. Wird "Alle Objekte" nicht angezeigt, klicken Sie auf .
  4. Überprüfen Sie die folgenden OPENDIRECTORY-Identitätseinstellungsobjekte:

OPENDIRECTORY_ROOT_CA_IDENTITY überprüfen

  1. Doppelklicken Sie auf die Identitätseinstellung OPENDIRECTORY_ROOT_CA_IDENTITY.
  2. Im Menü "Bevorzugtes Zertifikat" sollte "Your-org-name Open Directory Certificate Authority" festgelegt sein. Stellen Sie sicher, dass das Zertifikat über benutzerdefinierte Vertrauenseinstellungen verfügt .
  3. Notieren Sie sich den Namen und das angegebene Ablaufdatum des Zertifikats. Schließen Sie das Fenster mit den Identitätseinstellungen.
  4. Klicken Sie auf die Kategorie "Zertifikate".
  5. Suchen Sie das Zertifikat mit dem notierten Namen und Ablaufdatum. Klicken Sie beim Zertifikat auf das Erweiterungsdreieck. Jetzt wird unter dem Zertifikat der private Schlüssel angezeigt.
  6. Doppelklicken Sie auf den privaten Schlüssel.
  7. Klicken Sie auf den Tab "Zugriff". Sie werden ggf. um Administratorauthentifizierung gebeten.
  8. Achten Sie darauf, dass folgende Programme auf den Schlüssel zugreifen können:
    slapconfig
    xscertd-helper
    xscertadmin
    servermgrd 
  9. Fehlt eines dieser Objekte in der Liste, fügen Sie es manuell hinzu. Klicken Sie dafür auf die Plustaste (+), und drücken Sie Befehlstaste-Umschalttaste-G.
  10. Geben Sie im Fenster "Gehe zum Ordner" den konkreten Pfad des fehlenden Objekts ein:
    • Für "slapconfig" lautet der Pfad: /usr/sbin/slapconfig
    • Für "xscertd-helper" lautet der Pfad: /usr/libexec/xscertd-helper
    • Für "xcertadmin" lautet der Pfad: /usr/sbin/xscertadmin
    • Für "servermgrd" lautet der Pfad: /Applications/Server.app/Contents/ServerRoot/System/Library/CoreServices/ServerManagerDaemon.bundle/Contents/MacOS/servermgrd
  11. Wenn Sie den Pfad des fehlenden Objekts eingegeben haben, klicken Sie auf "Öffnen", um es hervorzuheben. Klicken Sie dann auf "Hinzufügen", um das Objekt hinzuzufügen.
  12. Wenn alle Objekte in der Liste sind, klicken Sie auf "Änderungen sichern". Geben Sie bei Aufforderung das Administratorpasswort ein, und klicken Sie auf "Schlüsselbund verändern".

 

OPENDIRECTORY_INT_CA_IDENTITY überprüfen

  1. Doppelklicken Sie auf die Identitätseinstellung OPENDIRECTORY_INT_CA_IDENTITY.
  2. Im Menü "Bevorzugtes Zertifikat" sollte "IntermediateCA_DNS_NAME_OF_SERVER_1" festgelegt sein. Stellen Sie sicher, dass es als gültig gekennzeichnet ist  und von der jeweiligen Root-Zertifizierungsinstanz ausgestellt wurde.
  3. Notieren Sie sich den Namen und das angegebene Ablaufdatum des Zertifikats. Schließen Sie das Fenster mit den Identitätseinstellungen.
  4. Klicken Sie auf die Kategorie "Zertifikate".
  5. Suchen Sie das Zertifikat mit dem notierten Namen und Ablaufdatum. Klicken Sie beim Zertifikat auf das Erweiterungsdreieck. Jetzt wird unter dem Zertifikat der private Schlüssel angezeigt.
  6. Doppelklicken Sie auf den privaten Schlüssel.
  7. Klicken Sie auf den Tab "Zugriff". Sie werden ggf. um Administratorauthentifizierung gebeten.
  8. Achten Sie darauf, dass folgende Programme auf den Schlüssel zugreifen können:
    slapconfig
    xscertd-helper
    xscertadmin
    servermgrd 
  9. Fehlt eines dieser Objekte in der Liste, fügen Sie es manuell hinzu. Klicken Sie dafür auf die Plustaste (+), und drücken Sie Befehlstaste-Umschalttaste-G.
  10. Geben Sie im Fenster "Gehe zum Ordner" den konkreten Pfad des fehlenden Objekts ein:
    • Für "slapconfig" lautet der Pfad: /usr/sbin/slapconfig
    • Für "xscertd-helper" lautet der Pfad: /usr/libexec/xscertd-helper
    • Für "xcertadmin" lautet der Pfad: /usr/sbin/xscertadmin
    • Für "servermgrd" lautet der Pfad: /Applications/Server.app/Contents/ServerRoot/System/Library/CoreServices/ServerManagerDaemon.bundle/Contents/MacOS/servermgrd
  11. Wenn Sie den Pfad des fehlenden Objekts eingegeben haben, klicken Sie auf "Öffnen", um es hervorzuheben. Klicken Sie dann auf "Hinzufügen", um das Objekt hinzuzufügen.
  12. Wenn alle Objekte in der Liste sind, klicken Sie auf "Änderungen sichern". Geben Sie bei Aufforderung das Administratorpasswort ein, und klicken Sie auf "Schlüsselbund verändern".

OPENDIRECTORY_SSL_IDENTITY überprüfen

  1. Doppelklicken Sie auf die Identitätseinstellung OPENDIRECTORY_SSL_IDENTITY.
  2. Im Menü "Bevorzugtes Zertifikat" sollte "dns-name-of-server" festgelegt sein. Stellen Sie sicher, dass es als gültig gekennzeichnet ist  und von OPENDIRECTORY_SSL_IDENTITY ausgestellt wurde.
  3. Notieren Sie sich den Namen und das angegebene Ablaufdatum des Zertifikats. Schließen Sie das Fenster mit den Identitätseinstellungen.
  4. Klicken Sie auf die Kategorie "Zertifikate".
  5. Suchen Sie das Zertifikat mit dem notierten Namen und Ablaufdatum. Klicken Sie beim Zertifikat auf das Erweiterungsdreieck. Jetzt wird unter dem Zertifikat der private Schlüssel angezeigt.
  6. Doppelklicken Sie auf den privaten Schlüssel.
  7. Klicken Sie auf den Tab "Zugriff". Hier bekommen Sie ggf. eine Sicherheitsanfrage.
  8. Stellen Sie sicher, dass Sie "Allen Programmen den Zugriff ermöglichen" ausgewählt haben. Klicken Sie auf "Änderungen sichern". Geben Sie bei Aufforderung das Administratorpasswort ein, und klicken Sie auf "Schlüsselbund verändern".

Nach Prüfung der Identitätseinstellungen

Wenn Sie alle drei Identitätseinstellungen überprüft haben, starten Sie den Server neu, und überprüfen Sie, ob das Problem weiterhin besteht.

Veröffentlichungsdatum: