Usar la renovación de certificados basada en perfiles en macOS

Las versiones actuales de macOS admiten la renovación de certificados adquiridos desde un perfil de configuración.

En macOS, existen dos métodos para renovar la inscripción de un certificado con un perfil de configuración:

  • Protocolo de inscripción de certificados simple (SCEP), que usa con frecuencia un Servicio de inscripción de dispositivos de red perteneciente a una entidad de certificación (CA) de Microsoft (NDES).
  • DCOM/RPC (ADCertificate), que depende de una entidad de certificación (CA) de servidores de Microsoft Windows. 

Acerca de los certificados

En macOS, puedes obtener y renovar un certificado con el mismo perfil. macOS siempre envía una alerta cuando un certificado está por vencer:

  • Cuando falten 15 días para que venza el certificado, recibirás un recordatorio. 
  • Cuando falten menos de 15 días para que venza el certificado, aparecerá un cartel en el Centro de notificaciones. Esta notificación se repetirá una vez por día hasta que el certificado venza o decidas actualizarlo o eliminarlo.

Para actualizar un certificado, ve a Preferencias del Sistema, abre el panel Perfiles, haz clic en el perfil del certificado y, por último, haz clic en Actualizar. 

Renovación por medio de ADCertificate

En el panel Perfiles de Preferencias del Sistema, haz clic en el botón Actualizar para crear una clave privada nueva. Esta clave se usará para firmar la solicitud del certificado, que se enviará a la entidad de certificación (CA). El certificado nuevo de la CA se vinculará con la clave privada nueva.

El certificado y la clave privada originales, que se crearon cuando se instaló el perfil, permanecerán en el llavero.

Obtén información sobre cómo renovar automáticamente los certificados distribuidos por medio de un perfil de configuración.

Renovación por medio de SCEP

En el panel Perfiles de Preferencias del Sistema, haz clic en el botón Actualizar. La clave privada que esté en vigencia se usará para firmar la solicitud del certificado, que se enviará a la entidad de certificación (CA). Cuando la CA renueve el certificado, se vinculará con la clave privada original.

El certificado original, que se creó cuando se instaló el perfil, permanecerá en el llavero.

Renovación por medio de líneas de comando

En macOS 10.12 Sierra y posteriores, tienes la opción de usar el comando /usr/bin/profiles para renovar certificados generados con perfiles por medio de SCEP y ADCertificate. En la línea de comando, usa la siguiente sintaxis:

profiles -W -p <profileIdentifier value>

Para buscar el valor “profileIdentifier”, enumera los perfiles instalados con el argumento de comando -L.

Configurar notificaciones de renovación

Si usas Yosemite o una versión posterior de macOS, se mostrará una notificación diaria cuando falten menos de 14 días para que el certificado venza.

Para modificar la frecuencia con la que recibes la notificación diaria, puedes usar dos parámetros de configuración denominados CertificateRenewalTimeInterval y CertificateRenewalTimePercent:

Parámetro  Método de aplicación Valores permitidos Tipo de valor
CertificateRenewalTimeInterval Perfil de configuración del Administrador de perfiles: ADCert o SCEP Más de 14 días o menos que el tiempo de vigencia máximo del certificado en días Días (número entero)
CertificateRenewalTimePercent /usr/sbin/defaults Entre 1 y 50 Porcentaje (número entero)

Para aplicar el parámetro CertificateRenewalTimePercent, usa una sintaxis similar a la siguiente:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Puedes usar estos dos ajustes de configuración de forma conjunta:

  • Si el parámetro CertificateRenewalTimeInterval está definido en el perfil, usa ese valor.
  • Si el parámetro CertificateRenewalTimeInterval no está definido en el perfil, pero sí en el cliente, usa el valor del parámetro CertificateRenewalTimePercent.

Si no está definido ninguno de los dos valores, el intervalo de tiempo se establecerá en 14 días.

Más información

Es posible que el perfil que usaste para crear el certificado ADCert o SCEP se elimine. Si usas Mavericks o una versión posterior de macOS, el certificado y la clave privada más recientes se eliminarán del llavero, pero el certificado original permanecerá allí, por lo que deberás eliminarlo.

Es posible que el perfil que usaste para obtener el certificado tenga otras cargas útiles vinculadas al certificado. Algunos ejemplos de cargas útiles son EAP-TLS para Red o Autenticación basada en certificados de OnDemand para VPN. Cuando el certificado se renueve, todos los ajustes de configuración dependientes se actualizarán en el certificado nuevo.

Después de renovar un certificado, el perfil instalado se asociará con el certificado nuevo. Cuando un certificado se renueva, no se instalan ni se crean perfiles adicionales.

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: