OS X Server: Renovar el certificado de firma de código del gestor de perfiles

Si usas el certificado autofirmado y el certificado de firma de código en OS X Server, deberás renovar el certificado de firma de código cada cierto tiempo antes de que caduque.

Antes de empezar

Las comillas que se usan en el artículo de comandos de Terminal son comillas "rectas". Algunos navegadores web, aplicaciones de correo electrónico y editores de texto pueden convertir estas marcas automáticamente en comillas tipográficas (cursivas). Es importante usar comillas rectas cuando se introduzcan los comandos de este artículo en Terminal.app. En regiones geográficas en las que las marcas diacríticas se usan en el nombre del certificado, las comillas tipográficas pueden provocar que certadmin informe de que no se encuentra el certificado.

OS X Mavericks

Con OS X Mavericks, recibirás una alerta en Server.app 30 días antes de que caduque el certificado. A partir de ese momento, se mostrará una alerta en Server.app una vez al día hasta que renueves el certificado. Esta alerta incluye un botón de renovación que te permite renovar el certificado.

OS X Lion y OS X Mountain Lion

Para OS X Lion y OS X Mountain Lion, sigue este procedimiento para renovar el certificado.

Antes de renovar el certificado, debes recopilar la siguiente información. Vas a necesitar lo siguiente:

1. El nombre común completo del certificado de firma de código.

2. El nombre común completo del emisor.

3. El número de serie del certificado en formato hexadecimal.

Para obtener el nombre común completo del certificado de firma de código:

1. Abre /Aplicaciones/Utilidades/Acceso a Llaveros.app.

2. En la parte izquierda debajo de Llaveros, selecciona el llavero Sistema.

3. Busca tu certificado de firma de código. Debe tener un nombre con el formato “Certificado de firma de código miservidor.midominio.com”, donde “miservidor.midominio.com” será el nombre de dominio completo (FQDN) de tu servidor. Deberías ver dos entradas, una con la clave privada y otra con el certificado en sí. Haz doble clic en el certificado.

4. En Detalles, busca la sección Nombre del sujeto y, en esta sección, busca el campo Nombre común, que debería ser idéntico al nombre del certificado en la lista del paso 3. Anota el nombre completo teniendo en cuenta mayúsculas, espacios y puntuación.

Para obtener el nombre común completo del emisor:

1. En los detalles del mismo certificado, busca la sección titulada Nombre del emisor. Busca el campo Nombre común que hay justo debajo. El nombre común del emisor debería tener el siguiente formato: “CAIntermedia_MYSERVER.MYDOMAIN.COM_1"

   ...where "MYSERVER.MYDOMAIN.COM" will be the FQDN of your server. Make note of the full name, including capitalization, spaces, and punctuation.

Para obtener el número de serie del certificado en formato hexadecimal:

1. En los detalles del mismo certificado, en la sección Nombre del emisor, deberías ver el campo Número de serie. Anota el número de serie, que está en formato decimal.

2. Abre /Aplicaciones/Calculadora.app

3. En Calculadora, selecciona Visualización > De programación para cambiar al modo de programación.

4. Justo debajo, a la derecha de la pantalla numérica de Calculadora, hay botones con los valores "8", "10" y "16". Haz clic en el botón "10" para asegurarte de que Calculadora esté en el modo decimal.

5. Introduce el número de serie que encontraste en el paso 1, por ejemplo "6745963548".

6. Haz clic en el botón "16" para pasar al modo hexadecimal. El número resultante estará en el formato de "0x192173C1C". Omite los primeros dos dígitos "0x" y anota el resto del número.

Para renovar el certificado de firma de código en OS X Lion:

1. Abre /Aplicaciones/Utilidades/Terminal.app.

2. Introduce el siguiente comando usando la información recopilada más arriba. Al introducir el número de serie hexadecimal, asegúrate de que todas las letras sean minúsculas.

   sudo /usr/sbin/certadmin --recreate-CA-signed-certificate "myserver.mydomain.com Code Signing Certificate" "IntermediateCA_MYSERVER.MYDOMAIN.COM_1" 192173c1c

Para renovar el certificado de firma de código en OS X Mountain Lion:

1. Abre /Aplicaciones/Utilidades/Terminal.app.

2. Introduce el siguiente comando usando la información recopilada más arriba. Al introducir el número de serie hexadecimal, asegúrate de que todas las letras sean minúsculas.

   sudo /Applications/Server.app/Contents/ServerRoot/usr/sbin/certadmin --recreate-CA-signed-certificate "myserver.mydomain.com Code Signing Certificate" "IntermediateCA_MYSERVER.MYDOMAIN.COM_1" 192173c1c

Para asegurarte de que el gestor de perfiles usa el nuevo certificado:

1. Abre /Aplicaciones/Server.app.

2. En Servicios, haz clic en Gestor de Perfiles.

3. Desactiva Gestor de Perfiles.

4. Haz clic en el botón Editar, situado junto a Firmar perfiles de configuración.

5. En la lista de certificados, selecciona el certificado con el nombre "Certificado de firma de código miservidor.midominio.com - miservidor.midominio.com CA intermedia OD", que debería ser el único que aparece.

6. Haz clic en Aceptar.

7. Activa el Gestor de perfiles.

Información sobre iOS

iOS no acepta actualizaciones a través del gestor de perfiles tras renovar el certificado de firma de código. Para cada dispositivo iOS que use el gestor de perfiles, elimina Perfil de confianza y Perfil de activación del servicio en Ajustes > General > Perfiles. A continuación, navega hasta el Portal del usuario del gestor de perfiles en https://miservidor.midominio.com/mydevices para instalar el perfil de confianza actual y volver a activar el dispositivo.