Utilizar la renovación de certificados basados en perfil en macOS

Las versiones actuales de macOS admiten la renovación de certificados adquiridos a partir de un perfil de configuración.

En macOS, dispones de dos métodos para renovar la inscripción de tu certificado con tu perfil de configuración:

  • Protocolo simple de inscripción de certificados (SCEP), que utiliza con frecuencia un Servicio de inscripción de dispositivos de red de la autoridad de certificación (CA) de Microsoft (NDES).
  • DCOM/RPC (ADCertificate), que depende de una Autoridad de certificación de servidores (CA) de Microsoft Windows. 

Acerca de los certificados

En macOS, puedes obtener y renovar el certificado con el mismo perfil. macOS te avisará a medida que se aproxime la fecha de caducidad de un certificado:

  • Cuando falten 15 días para que venza un certificado, se mostrará un recordatorio. 
  • Cuando falten menos de 15 días para que venza un certificado, aparecerá una tira en el centro de notificaciones. Esta notificación se repetirá una vez al día hasta que el certificado venza o lo actualices o elimines.

Para actualizar un certificado, en el panel de perfiles de Preferencias del Sistema, haz clic en el perfil de certificado y, a continuación, haz clic en Actualizar. 

Renovar con ADCertificate

En el panel de perfiles de Preferencias del Sistema, haz clic en el botón Actualizar para crear una clave privada. Esta clave se utilizará para firmar la solicitud de certificado que se envía a la autoridad de certificación (CA). El nuevo certificado de la CA se emparejará con la nueva clave privada.

El certificado y la clave privada originales que se crearon al instalar el perfil permanecen en el llavero.

Obtén más información sobre cómo renovar automáticamente certificados entregados mediante un perfil de configuración.

Renovar con SCEP

Haz clic en el botón Actualizar del panel de perfiles de Preferencias del Sistema. La clave privada actual se utiliza para firmar la solicitud de certificado que se envía a la CA. Cuando la CA renueva el certificado, este se empareja con la clave privada original.

El certificado original que se creó al instalar el perfil permanece en el llavero.

Renovar mediante la línea de comandos

En macOS 10.12 Sierra y versiones posteriores, puedes renovar los certificados generados con un perfil mediante ADCertificate o SCEP con el comando /usr/bin/profiles. Utiliza esta sintaxis en la línea de comandos:

profiles -W -p <profileIdentifier value>

Para localizar el valor de “profileIdentifier”, lista los perfiles instalados con el argumento de comando -L.

Configurar las notificaciones de renovación

Yosemite y las versiones recientes de macOS  una notificación diaria cuando faltan menos de 14 días para que venza el certificado.

Puedes cambiar si quieres la frecuencia de notificación diaria con dos parámetros de configuración denominados CertificateRenewalTimeInterval y CertificateRenewalTimePercent:

Parámetro  Método de aplicación Valores permitidos Tipo de valores
CertificateRenewalTimeInterval Perfil de configuración del Gestor de Perfiles: ADCert o SCEP Más de 14 días o menos del tiempo máximo de duración del certificado en días Días (número entero)
CertificateRenewalTimePercent /usr/sbin/defaults Entre 1 y 50 Porcentaje (número entero)

Utiliza una sintaxis similar a esta para aplicar el parámetro CertificateRenewalTimePercent:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Puedes utilizar juntos estos dos ajustes:

  • Si CertificateRenewalTimeInterval está definido en el perfil, utiliza ese valor.
  • Si no está definido en el perfil, pero sí en el cliente, utiliza el valor de CertificateRenewalTimePercent.

Si no está definido ninguno de los dos valores, el intervalo de tiempo se establece en 14 días.

Más información

Puedes eliminar el perfil que has utilizado para crear el certificado ADCert o SCEP. Si utilizas Mavericks o una versión posterior de macOS, el certificado y la clave privada más recientes se eliminarán del llavero, pero el certificado original permanecerá allí, por lo que tendrás que eliminarlo.

Puede que el perfil que has utilizado para obtener el certificado tenga otras cargas útiles vinculadas. Algunos ejemplos de cargas útiles son EAP-TLS para Red o Autenticación basada en certificado OnDemand para VPN. Cuando se renueva el certificado, las configuraciones dependientes se actualizan para el nuevo certificado.

Después de renovar un certificado, el perfil instalado se asocia con el certificado nuevo. Cuando se renueva un certificado, no se instalan ni crean perfiles adicionales.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: