Usar la renovación de certificados basada en perfiles en macOS
En macOS Catalina y versiones anteriores, se incluye compatibilidad para renovar certificados adquiridos desde un perfil de configuración.
En macOS, existen dos métodos para renovar la inscripción de un certificado con un perfil de configuración:
Protocolo de inscripción de certificados simple (SCEP), que usa con frecuencia un Servicio de inscripción de dispositivos de red perteneciente a una entidad de certificación (CA) de Microsoft (NDES).
DCOM/RPC (ADCertificate), que depende de una entidad de certificación (CA) de servidores de Microsoft Windows.
Acerca de los certificados
En macOS, puedes obtener y renovar un certificado con el mismo perfil. macOS siempre envía una alerta cuando un certificado está por vencer:
Cuando falten 15 días para que venza el certificado, recibirás un recordatorio.
Cuando falten menos de 15 días para que venza el certificado, aparecerá un cartel en el Centro de notificaciones. Esta notificación se repetirá una vez por día hasta que el certificado venza o decidas actualizarlo o eliminarlo.
Para actualizar un certificado, ve a Preferencias del Sistema, abre el panel Perfiles, haz clic en el perfil del certificado y, por último, haz clic en Actualizar.
Renovación por medio de ADCertificate
En el panel Perfiles de Preferencias del Sistema, haz clic en el botón Actualizar para crear una clave privada nueva. Esta clave se usará para firmar la solicitud del certificado, que se enviará a la entidad de certificación (CA). El certificado nuevo de la CA se vinculará con la clave privada nueva.
El certificado y la clave privada originales, que se crearon cuando se instaló el perfil, permanecerán en el llavero.
Obtén información sobre cómo renovar automáticamente los certificados distribuidos por medio de un perfil de configuración.
Renovación por medio de SCEP
En el panel Perfiles de Preferencias del Sistema, haz clic en el botón Actualizar. La clave privada que esté en vigencia se usará para firmar la solicitud del certificado, que se enviará a la entidad de certificación (CA). Cuando la CA renueve el certificado, se vinculará con la clave privada original.
El certificado original, que se creó cuando se instaló el perfil, permanecerá en el llavero.
Renovación por medio de líneas de comando
En macOS 10.12 Sierra y versiones posteriores, tienes la opción de usar el comando /usr/bin/profiles En la línea de comando, usa la siguiente sintaxis:
profiles -W -p
Para buscar el valor “profileIdentifier”, enumera los perfiles instalados con el argumento de comando -L.
Configurar notificaciones de renovación
Si usas Yosemite o una versión posterior de macOS, se mostrará una notificación diaria cuando falten menos de 14 días para que el certificado venza.
Para modificar la frecuencia con la que recibes la notificación diaria, puedes usar dos parámetros de configuración denominados CertificateRenewalTimeInterval y CertificateRenewalTimePercent:
Parámetro | Método de aplicación | Valores permitidos | Tipo de valor |
CertificateRenewalTimeInterval | Perfil de configuración del Administrador de perfiles: ADCert o SCEP | Más de 14 días o menos que el tiempo de vigencia máximo del certificado en días | Días (número entero) |
CertificateRenewalTimePercent | /usr/sbin/defaults | Entre 1 y 50 | Porcentaje (número entero) |
Para aplicar el parámetro CertificateRenewalTimePercent, usa una sintaxis similar a la siguiente:
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
Puedes usar estos dos ajustes de configuración de forma conjunta:
Si el parámetro CertificateRenewalTimeInterval está definido en el perfil, usa ese valor.
Si el parámetro CertificateRenewalTimeInterval no está definido en el perfil, pero sí en el cliente, usa el valor del parámetro CertificateRenewalTimePercent.
Si no está definido ninguno de los dos valores, el intervalo de tiempo se establecerá en 14 días.
Obtener más información
Es posible que el perfil que usaste para crear el certificado ADCert o SCEP se elimine. Si usas Mavericks o una versión posterior de macOS, el certificado y la clave privada más recientes se eliminarán del llavero, pero el certificado original permanecerá allí, por lo que deberás eliminarlo.
Es posible que el perfil que usaste para obtener el certificado tenga otras cargas útiles vinculadas al certificado. Algunos ejemplos de cargas útiles son EAP-TLS para Red o Autenticación basada en certificados de OnDemand para VPN. Cuando el certificado se renueve, todos los ajustes de configuración dependientes se actualizarán en el certificado nuevo.
Después de renovar un certificado, el perfil instalado se asociará con el certificado nuevo. Cuando un certificado se renueva, no se instalan ni se crean perfiles adicionales.
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.
