在 macOS 以描述檔更新證書
macOS Catalina 和之前版本支援對來自設定描述檔的證書進行更新。
你可以透過兩種方式,使用 macOS 來更新設定描述檔的證書登記:
簡單證書登記通訊協定 (SCEP),此協定通常使用 Microsoft 證書授權單位 (CA) 網絡裝置登記服務 (NDES)。
DCOM/RPC (ADCertificate),此證書需要 Microsoft Windows Server 證書授權單位 (CA)。
關於證書
在 macOS 中,你可以使用同一描述檔來取得和更新證書。當證書快要到期時,macOS 會發出提示。
當證書距離到期日尚餘 15 天時,你會收到提醒。
當證書距離到期日不足 15 天時,「通知中心」就會出現橫幅式通知。此通知每天重複一次,直至證書到期或你將通知移除為止。
如要更新證書,請進入「系統偏好設定」的「描述檔」面板,按一下該證書的描述檔,然後按一下「更新」。
使用 ADCertificate 更新
在「系統偏好設定」的「描述檔」面板中,按一下「更新」按鈕以建立新的專用密鑰。新的專用密鑰可用於簽署傳送至 CA 的證書請求。來自 CA 的新證書會與新的專用密鑰配對。
安裝描述檔時建立的原始證書及專用密鑰會保留在鑰匙圈中。
了解如何自動更新透過配置描述檔傳達的證書。
使用 SCEP 更新
在「系統偏好設定」的「描述檔」面板中按一下「更新」按鈕。現有的專用密鑰可用於簽署傳送至 CA 的證書請求。當 CA 更新證書後,該證書就會與原始專用密鑰配對。
安裝描述檔時建立的原始證書會保留在鑰匙圈中。
透過命令列更新
在 macOS 10.12 Sierra 或之後版本中,你可以使用 {/usr/bin/profiles 命令,更新 ADCertificate 及 SCEP 描述檔產生的證書。請在命令列中使用以下語法:
profiles -W -p
你可以使用 -L 命令引數來列出已安裝的描述檔,以找出「profileIdentifier」值。
設定更新通知
當證書還有少於 14 天就到期,Yosemite 和更新的 macOS 版本就會每日顯示通知。
你可以使用 CertificateRenewalTimeInterval 及 CertificateRenewalTimePercent 這兩個設定參數變更每日通知時間:
參數 | 應用方法 | 允許的值 | 值類型 |
CertificateRenewalTimeInterval | 「描述檔管理程式」設定描述檔:ADCert 或 SCEP | 多於 14 天,或少於證書的最長有效期(以天為單位) | 天(整數) |
CertificateRenewalTimePercent | /usr/sbin/defaults | 1 至 50 之間 | 百分比(整數) |
你可利用類似以下的語法套用 CertificateRenewalTimePercent:
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
你可以合併使用下列兩項設定:
如果你已在描述檔界定 CertificateRenewalTimeInterval,請使用該值。
如果你尚未在描述檔界定 CertificateRenewalTimeInterval,但已在用戶端界定時,請使用 CertificateRenewalTimePercent 的值。
如尚未界定這兩個值,時間間隔會設為 14 天。
更多內容
你用於建立 ADCert 或 SCEP 證書的描述檔可能會被移除。當你使用 Mavericks 或更新的 macOS 版本,最近的證書及專用密鑰會從鑰匙圈中移除,但原始證書不會。你必須將其刪除。
你用於取得證書的描述檔可能載有其他與證書連結的承載資料。承載資料範例包括,網絡:EAP-TLS、VPN:OnDemand 證書式認證。證書更新後,新證書的相關設定會隨之更新。
證書更新後,所安裝的描述檔會連結新證書。另外,系統不會再安裝或建立其他描述檔。
對於非 Apple 製造產品,或者並非由 Apple 控制或測試的獨立網站,其相關資訊的提供不應詮釋為受到 Apple 所推薦或認可。Apple 對於第三方網站或產品的選擇、表現或使用,概不承擔任何責任。Apple 對於第三方網站的準確性或可靠性不作任何聲明。如需進一步資料,請聯絡相關供應商。
