OS X Mavericks: Renovación de certificados basada en perfil

OS X Mavericks introduce la compatibilidad para la renovación de certificados adquiridos por medio del perfil.

OS X admite dos métodos de inscripción de certificados por medio del perfil de configuración: Protocolo simple de inscripción de certificados (SCEP) y DCOM/RPC (ADCertificate). ADCertificate depende de una Autoridad de certificación de servidores (CA) de Microsoft Windows. SCEP utiliza frecuentemente un Servicio de inscripción de dispositivos de red de la CA de Microsoft (NDES). 

Con OS X Mavericks, los certificados adquiridos por medio de un perfil se pueden renovar a través del mismo perfil instalado. Cuando al certificado le queden 15 días para caducar, el perfil del certificado del panel de perfiles de Preferencias del Sistema mostrará el botón Actualizar:

 

 
El centro de notificaciones de Mavericks mostrará un banner cuando haya llegado el momento de renovar (cuando queden 15 días para que caduque).
 
Esta notificación se repetirá una vez al día hasta que el certificado caduque o se tome alguna medida.
 
RENOVACIÓN de ADCertificate
Haz clic en el botón Actualizar del panel de perfiles de Preferencias del Sistema. Se creará y utilizará una nueva clave privada para firmar la solicitud del certificado que se envía a la CA. Cuando se obtenga el nuevo certificado de la CA, se enlazará con la nueva clave privada.
 
El certificado y clave privada originales, creados cuando se instaló el perfil, permanecen en el llavero.
 
RENOVACIÓN de SCEP
Haz clic en el botón Actualizar del panel de perfiles de Preferencias del Sistema. La clave privada existente se utilizará para firmar la solicitud del certificado que se envía a la CA. Cuando se obtiene el certificado renovado de la CA, se enlaza con la clave privada original.
 
El certificado original, creado cuando se instaló el perfil, permanece en el llavero.

Si el perfil que se ha utilizado para obtener el certificado ADCert o SCEP se elimina de Mavericks, el certificado y la clave privada adquiridos más recientemente se eliminarán del llavero en el que residen. El certificado original, ahora huérfano de su clave privada, no se quitará y podrá eliminarse manualmente.

Si el perfil utilizado para obtener el certificado también contiene otras cargas vinculadas al certificado obtenido (Red EAP-TLS, VPN: Autenticación basada en certificado OnDemand, etc.), cuando el certificado se renueve, las configuraciones dependientes se actualizarán para el nuevo certificado.

Después de renovar un certificado, el perfil instalado se asocia con el certificado nuevo.  No se instalarán ni se crearán perfiles adicionales como resultado de la renovación del certificado.

Fecha de publicación: