macOS-is profiilipõhise serdi uuendamise kasutamine

macOS Catalina ja vanemad versioonid toetavad konfiguratsiooniprofiilist hangitud sertide uuendamist.

macOS-is saate konfiguratsiooniprofiili serdi registreerimist uuendada kahel viisil:

• Lihtne serdi registreerimisprotokoll (Simple Certificate Enrollment Protocol, SCEP), mis kasutab sageli Microsofti sertimiskeskuse (Certificate Authority, CA) võrguseadmete registreerimisteenust (Network Device Enrollment Service, NDES);

• DCOM/RPC (ADCertificate), mis kasutab Microsoft Windows Serveri sertimiskeskust (CA).

Teave sertide kohta

macOS-is saate serdi hankida ja seda uuendada sama profiiliga. macOS annab teile teada, kui serdi aegumiskuupäev hakkab kätte jõudma.

• Kui serdi aegumiskuupäevani on 15 päeva, saate meeldetuletuse.

• Kui serdi aegumiskuupäevani on alla 15 päeva, kuvab Notification Center (Teavituskeskus) teavitusriba. Seda teadet korratakse kord päevas kuni serdi aegumise, värskendamise või eemaldamiseni.

Serdi värskendamiseks klõpsake menüü System Preferences (Süsteemieelistused) paanil Profiles (Profiilid) serdi profiili ja seejärel klõpsake käsku Update (Värskenda).

ADCertificate’i abil uuendamine

Uue privaatvõtme loomiseks klõpsake menüü System Preferences (Süsteemieelistused) paanil Profiles (Profiilid) nuppu Update (Värskenda). CA-sse saadetav serditaotlus allkirjastatakse uue privaatvõtmega. CA-st saadud uus sert seotakse uue privaatvõtmega.

Profiili installimisel loodud algne sert ja privaatvõti jäävad võtmeketti.

Lugege, kuidas uuendada konfiguratsiooniprofiili kaudu edastatud serte automaatselt.

SCEP abil uuendamine

Klõpsake menüü System Preferences (Süsteemieelistused) paanil Profiles (Profiilid) nuppu Update (Värskenda). CA-sse saadetav serditaotlus allkirjastatakse praeguse privaatvõtmega. Serdi uuendamisel seob CA selle algse privaatvõtmega.

Profiili installimisel loodud algne sert jääb võtmeketti.

Käsurea kaudu uuendamine

Operatsioonisüsteemis macOS 10.12 Sierra ja uuemas versioonis saate ADCertificate’i ja SCEP profiili loodud serte uuendada käsuga /usr/bin/profiles. Kasutage käsureal järgmist süntaksit.

profiles -W -p

Väärtuse „profileIdentifier“ (profiili tunnus) leiate, kui loetlete installitud profiilid käsureaargumendiga -L.

Uuendamisteadete seadistamine

Yosemite ja macOS-i uuemad versioonid kuvavad iga päev teate, kui serdi aegumiseni on jäänud alla 14 päeva.

Igapäevase teate aega saate muuta kahe konfiguratsiooniparameetri abil: CertificateRenewalTimeInterval ja CertificateRenewalTimePercent.

Parameetri CertificateRenewalTimePercent saab rakendada näiteks järgmise süntaksiga.

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Neid kahte sätet saab kasutada üheaegselt.

• Kui profiilis on määratud CertificateRenewalTimeInterval, kasutage seda väärtust.

• Kui CertificateRenewalTimeInterval pole määratud profiilis, kuid on määratud kliendis, kasutage parameetri CertificateRenewalTimePercent väärtust.

Kui kumbagi väärtust pole määratud, seatakse ajavahemikuks 14 päeva.

Lisateave

ADCerti või SCEP serdi loomiseks kasutatud profiil võib olla eemaldatud. Versiooni Mavericks või macOS-i uuema versiooni korral eemaldatakse võtmeketist kõige hiljutisem sert ja privaatvõti, kuid algset serti ei eemaldata. Selle peate kustutama teie.

Serdi hankimiseks kasutatud profiilil võib olla muid kasulikke koormusi, mis on selle serdiga seostatud. Kasulikud koormused on näiteks võrgu mõlemautentimismeetod EAP-TLS ning VPN-i serdipõhine nõudeautentimine. Serdi uuendamisel värskendatakse sellest sõltuvaid konfiguratsioone uue serdi kohaselt.

Pärast serdi uuendamist seostatakse installitud profiil uue serdiga. Serdi uuendamisel ei installita ega looda ühtki lisaprofiili.