Verifica tus certificados para macOS Server

Si tienes problemas con xscertd o al asignar certificados a los servicios, puede que tengas que comprobar los controles de Acceso a Llaveros.

Si ves mensajes que contengan “getCACerts” en tus archivos de registro o si tienes problemas para asignar tus certificados a servicios en OS X Server, puede que los controles de acceso impidan que el servidor acceda al componente de clave privada de la identidad.

Verifica los controles de acceso

  1. Abre Acceso a Llaveros en el servidor.
  2. Selecciona el llavero del sistema en la barra lateral de la izquierda.
  3. Selecciona la categoría Todos los ítems con la barra lateral de la izquierda. Si no ves la opción Todos los ítems, haz clic en .
  4. Comprueba estos objetos de preferencia de la identidad OPENDIRECTORY:

Verificar OPENDIRECTORY_ROOT_CA_IDENTITY

  1. Haz doble clic en la preferencia de identidad OPENDIRECTORY_ROOT_CA_IDENTITY.
  2. El menú Certificado preferido debería estar establecido como “Your-org-name Open Directory Certificate Authority” (“Entidad de certificación de Open Directory de [Nombre de tu organización])”. Asegúrate de que tiene los ajustes de confianza personalizados .
  3. Anota el nombre de este certificado y la fecha de caducidad que se muestra. Cierra la ventana de preferencias de identidad.
  4. Haz clic en la categoría Certificados.
  5. Busca el certificado con el mismo nombre y fecha de caducidad. Haz clic en el triángulo de despliegue del certificado. La clave privada aparecerá debajo del certificado.
  6. Haz doble clic en la clave privada.
  7. Haz clic en la pestaña Control de acceso. Puede que se te solicite autenticación como administrador.
  8. Asegúrate de que estas aplicaciones pueden acceder a esta clave:
    slapconfig
    xscertd-helper
    xscertadmin
    servermgrd 
  9. Si falta algún elemento de esta lista, añádelo manualmente. Haz clic en el botón + para añadir un elemento nuevo y pulsa Comando + Mayús + G.
  10. En la ventana Ir a carpeta, introduce la ruta específica para el artículo que falta:
    • Para el elemento slapconfig, introduce la ruta /usr/sbin/slapconfig
    • Para el elemento xscertd-helper, introduce la ruta /usr/libexec/xscertd-helper
    • Para el elemento xcertadmin, introduce la ruta /usr/sbin/xscertadmin
    • Para el elemento servermgrd, introduce la ruta /Applications/Server.app/Contents/ServerRoot/System/Library/CoreServices/ServerManagerDaemon.bundle/Contents/MacOS/servermgrd
  11. Tras introducir la ruta del elemento que falte, haz clic en Ir para destacarlo. Después haz clic en Añadir para añadir el elemento.
  12. Cuando todos los elementos aparezcan en la lista, haz clic en Guardar cambios. Si se te pide la contraseña de administrador, introdúcela y haz clic en Modificar llavero.

 

Verificar OPENDIRECTORY_INT_CA_IDENTITY

  1. Haz doble clic en la preferencia de identidad OPENDIRECTORY_INT_CA_IDENTITY.
  2. El menú Certificado preferido debería estar establecido como “IntermediateCA_DNS_NAME_OF_SERVER_1” (NOMBRE_1_DNS_DE_SERVIDOR_DE_LA_Entidad_de_certificación_intermedia). Asegúrate de que aparece como  válido y que está emitido por esta CA raíz.
  3. Anota el nombre de este certificado y la fecha de caducidad que se muestra. Cierra la ventana de preferencias de identidad.
  4. Haz clic en la categoría Certificados.
  5. Busca el certificado con el mismo nombre y fecha de caducidad. Haz clic en el triángulo de despliegue del certificado. La clave privada aparecerá debajo del certificado.
  6. Haz doble clic en la clave privada.
  7. Haz clic en la pestaña Control de acceso. Puede que se te solicite autenticación como administrador.
  8. Asegúrate de que estas aplicaciones pueden acceder a esta clave:
    slapconfig
    xscertd-helper
    xscertadmin
    servermgrd 
  9. Si falta algún elemento de esta lista, añádelo manualmente. Haz clic en el botón + para añadir un elemento nuevo y pulsa Comando + Mayús + G.
  10. En la ventana Ir a carpeta, introduce la ruta específica para el artículo que falta:
    • Para el elemento slapconfig, introduce la ruta /usr/sbin/slapconfig
    • Para el elemento xscertd-helper, introduce la ruta /usr/libexec/xscertd-helper
    • Para el elemento xcertadmin, introduce la ruta /usr/sbin/xscertadmin
    • Para el elemento servermgrd, introduce la ruta /Applications/Server.app/Contents/ServerRoot/System/Library/CoreServices/ServerManagerDaemon.bundle/Contents/MacOS/servermgrd
  11. Tras introducir la ruta del elemento que falte, haz clic en Ir para destacarlo. Después haz clic en Añadir para añadir el elemento.
  12. Cuando todos los elementos aparezcan en la lista, haz clic en Guardar cambios. Si se te pide la contraseña de administrador, introdúcela y haz clic en Modificar llavero.

Verificar OPENDIRECTORY_SSL_IDENTITY

  1. Haz doble clic en la preferencia de identidad OPENDIRECTORY_SSL_IDENTITY.
  2. El menú Certificado preferido debería estar establecido como “dns-name-of-server” (“nombre-dns-del-servidor”). Asegúrate de que está marcado como  válido y está emitido por OPENDIRECTORY_SSL_IDENTITY.
  3. Anota el nombre de este certificado y la fecha de caducidad que se muestra. Cierra la ventana de preferencias de identidad.
  4. Haz clic en la categoría Certificados.
  5. Busca el certificado con el mismo nombre y fecha de caducidad. Haz clic en el triángulo de despliegue del certificado. La clave privada aparecerá debajo del certificado.
  6. Haz doble clic en la clave privada.
  7. Haz clic en la pestaña Control de acceso. Puede que aparezca un indicador de seguridad.
  8. Asegúrate de que tienes la opción “Permitir a todas las aplicaciones acceder a este ítem” seleccionada. Haz clic en Guardar cambios. Si se te pide la contraseña de administrador, introdúcela y haz clic en Modificar llavero.

Tras comprobar las preferencias de identidad

En cuanto hayas verificado las tres preferencias de identidad, reinicia el servidor para ver si el problema continúa.

Fecha de publicación: