Utilizar la renovación de certificados basados en perfil en macOS
macOS Catalina y versiones anteriores incluyen soporte para renovar certificados adquiridos a partir de un perfil de configuración.
En macOS, dispones de dos métodos para renovar la inscripción de tu certificado con tu perfil de configuración:
Protocolo simple de inscripción de certificados (SCEP), que utiliza con frecuencia un Servicio de inscripción de dispositivos de red de la autoridad de certificación (CA) de Microsoft (NDES).
DCOM/RPC (ADCertificate), que depende de una Autoridad de certificación de hosts (CA) de Microsoft Windows.
Acerca de los certificados
En macOS, puedes obtener y renovar el certificado con el mismo perfil. macOS te avisará a medida que se aproxime la fecha de caducidad de un certificado:
Cuando falten 15 días para que venza un certificado, se mostrará un recordatorio.
Cuando falten menos de 15 días para que venza un certificado, aparecerá una tira en el centro de notificaciones. Esta notificación se repetirá una vez al día hasta que el certificado venza o lo actualices o elimines.
Para actualizar un certificado, en el panel de perfiles de Preferencias del Sistema, haz clic en el perfil de certificado y, a continuación, haz clic en Actualizar.
Renovar con ADCertificate
En el panel de perfiles de Preferencias del Sistema, haz clic en el botón Actualizar para crear una clave privada. Esta clave se utilizará para firmar la solicitud de certificado que se envía a la autoridad de certificación (CA). El nuevo certificado de la CA se emparejará con la nueva clave privada.
El certificado y la clave privada originales que se crearon al instalar el perfil permanecen en el llavero.
Obtén más información sobre cómo renovar automáticamente certificados entregados mediante un perfil de configuración.
Renovar con SCEP
Haz clic en el botón Actualizar del panel de perfiles de Preferencias del Sistema. La clave privada actual se utiliza para firmar la solicitud de certificado que se envía a la CA. Cuando la CA renueva el certificado, este se empareja con la clave privada original.
El certificado original que se creó al instalar el perfil permanece en el llavero.
Renovar mediante la línea de comandos
En macOS 10.12 Sierra y versiones posteriores, puedes renovar los certificados generados con un perfil mediante ADCertificate o SCEP con el comando /usr/bin/profiles. Utiliza esta sintaxis en la línea de comandos:
profiles -W -p
Para localizar el valor de “profileIdentifier”, lista los perfiles instalados con el argumento de comando -L.
Configurar las notificaciones de renovación
Yosemite y las versiones posteriores de macOS muestran una notificación diaria cuando al certificado le quedan menos de 14 días para que venza.
Puedes cambiar si quieres la frecuencia de notificación diaria con dos parámetros de configuración denominados CertificateRenewalTimeInterval y CertificateRenewalTimePercent:
Parámetro | Método de aplicación | Valores permitidos | Tipo de valores |
CertificateRenewalTimeInterval | Perfil de configuración del Gestor de Perfiles: ADCert o SCEP | Más de 14 días o menos del tiempo máximo de duración del certificado en días | Días (número entero) |
CertificateRenewalTimePercent | /usr/sbin/defaults | Entre 1 y 50 | Porcentaje (número entero) |
Utiliza una sintaxis similar a esta para aplicar el parámetro CertificateRenewalTimePercent:
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
Puedes utilizar juntos estos dos ajustes:
Si CertificateRenewalTimeInterval está definido en el perfil, utiliza ese valor.
Si no está definido en el perfil, pero sí en el cliente, utiliza el valor de CertificateRenewalTimePercent.
Si no está definido ninguno de los dos valores, el intervalo de tiempo se establece en 14 días.
Más información
Puedes eliminar el perfil que has utilizado para crear el certificado ADCert o SCEP. Si utilizas Mavericks o una versión posterior de macOS, el certificado y la clave privada más recientes se eliminarán del llavero, pero el certificado original permanecerá allí, por lo que tendrás que eliminarlo.
Puede que el perfil que has utilizado para obtener el certificado tenga otras cargas útiles vinculadas. Algunos ejemplos de cargas útiles son EAP-TLS para Red o Autenticación basada en certificado OnDemand para VPN. Cuando se renueva el certificado, las configuraciones dependientes se actualizan para el nuevo certificado.
Después de renovar un certificado, el perfil instalado se asocia con el certificado nuevo. Cuando se renueva un certificado, no se instalan ni crean perfiles adicionales.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.
