Uso de la renovación de certificados basada en perfil en OS X

Las versiones actuales de OS X incluyen soporte para la renovación de los certificados adquiridos con un perfil de configuración.

OS X admite dos métodos de inscripción de certificados por medio del perfil de configuración: Protocolo de inscripción de certificados simple (SCEP) y DCOM/RPC (ADCertificate). ADCertificate depende de una autoridad de certificación (CA) de servidores de Microsoft Windows. SCEP normalmente usa un servicio de inscripción de dispositivos de red de la CA de Microsoft (NDES). 

Acerca de los certificados

Con OS X, los certificados adquiridos por medio de un perfil se pueden renovar a través del mismo perfil instalado. Cuando el certificado esté a quince días de su fecha de vencimiento, el perfil del certificado en el panel Perfiles de Preferencias del sistema mostrará el botón Actualizar:

El centro de notificaciones también mostrará un encabezado de alerta cuando sea momento de realizar la renovación (a menos de 15 días de la fecha de vencimiento).

Esta notificación se repetirá una vez por día hasta que el certificado se venza o se lleve a cabo alguna acción.

Renovación de ADCertificate

Haz clic en el botón Actualizar del panel Perfiles de Preferencias del sistema. Se creará y utilizará una nueva clave privada para firmar la solicitud del certificado que se envía a la autoridad de certificación (CA). Cuando se obtenga el nuevo certificado de la CA, se enlazará con la nueva clave privada.

El certificado y la clave privada originales, creados cuando se instaló el perfil, permanecerán en el llavero.

Renovación de SCEP

Haz clic en el botón Actualizar del panel Perfiles de Preferencias del sistema. La clave privada existente se utilizará para firmar la solicitud del certificado que se envía a la autoridad de certificación (CA). Cuando se obtenga el certificado renovado de la CA, se enlazará con la clave privada original.

El certificado original, creado cuando se instaló el perfil, permanecerá en el llavero.

Configuración de notificaciones de renovación

De manera predeterminada, OS X Yosemite muestra una notificación diaria cuando quedan 14 días para que se venza el certificado adquirido. OS X Yosemite ofrece dos parámetros de configuración que pueden modificar este comportamiento: CertificateRenewalTimeInterval y CertificateRenewalTimePercent. Estos son algunos detalles de cada uno:

Nombre del parámetro Método de aplicación Valores permitidos Tipo de valor
CertificateRenewalTimeInterval Perfil de configuración del Administrador de perfiles: ADCert o SCEP Más de 14 días
Menos que el tiempo de vigencia máximo del certificado en días
Días (número entero)
CertificateRenewalTimePercent /usr/sbin/defaults Entre 1 y 50 Porcentaje (número entero)

CertificateRenewalTimePercent se aplica con una sintaxis similar a la siguiente:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Los dos parámetros se pueden usar combinados:

  1. Si CertificateRenewalTimeInterval está definido en el perfil, se usará su valor.
  2. Si CertificateRenewalTimeInterval *no* está definido en el perfil, pero CertificateRenewalTimePercent está definido en el cliente, se usará el valor de CertificateRenewalTimePercent.
  3. Si ninguno de los dos está definido de forma explícita, se asumirá un valor de 14 días para CertificateRenewalTimeInterval.

Más información

Si el perfil que se usó para obtener el certificado ADCert o SCEP se elimina de Mavericks, el certificado y la clave privada adquiridos más recientemente se eliminarán del llavero en el que se encuentran. El certificado original, que ahora se encuentra sin su clave privada, no se quitará, pero se podrá eliminar de forma manual.

Si el perfil usado para obtener el certificado también contiene otras cargas vinculadas al certificado obtenido (Red: EAP-TLS, VPN: Autenticación basada en certificado OnDemand, y así sucesivamente), al renovar el certificado, la configuración dependiente se actualizará para el certificado nuevo.

Después de renovar un certificado, el perfil instalado se asociará con el certificado nuevo.  No se instalarán ni se crearán perfiles adicionales como resultado de la renovación del certificado.

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: