Profiiliin perustuvan varmenteen uusimisen käyttäminen OS X:ssä

OS X:n nykyiset versiot tukevat asetusprofiileista hankittujen varmenteiden uusimista.

OS X tukee kahta varmenteiden rekisteröintimenetelmää käytettäessä asetusprofiilia: SCEP (Simple Certificate Enrollment Protocol) ja DCOM/RPC (ADCertificate). ADCertificate käyttää Microsoft Windows Serverin varmenteiden myöntäjää. SCEP käyttää usein Microsoftin varmenteiden myöntäjän NDES-palvelua (Network Device Enrollment Service). 

Tietoja varmenteista

OS X:ssä profiilin kautta hankitut varmenteet voidaan uusia käyttämällä samaa asennettua profiilia. Kun varmenteen vanhenemiseen on 15 päivää aikaa, varmenteen profiilissa Profiilit-järjestelmäasetuksissa näkyy Päivitä-painike:

Lisäksi Ilmoituskeskuksessa näkyy banneri, kun varmenne pitää uusia (vanhenemista edeltävien 15 päivän aikana).

Ilmoitus tulee näkyviin kerran päivässä, kunnes varmenne vanhenee tai toimenpiteisiin ryhdytään.

ADCertificate-uusiminen

Klikkaa Päivitä-painiketta Profiilit-järjestelmäasetuksissa. Järjestelmä luo uuden yksityisen avaimen, ja sillä allekirjoitetaan varmenteen myöntäjälle lähetettävä varmennepyyntö. Kun varmenteen myöntäjältä saadaan uusi varmenne, se muodostaa parin uuden yksityisen avaimen kanssa.

Profiilin asennuksen yhteydessä luotu alkuperäinen varmenne ja yksityinen avain säilyvät avainnipussa.

SCEP-uusiminen

Klikkaa Päivitä-painiketta Profiilit-järjestelmäasetuksissa. Varmenteen myöntäjälle lähetettävä varmennepyyntö allekirjoitetaan nykyisellä yksityisellä avaimella. Kun varmenteen myöntäjältä saadaan uusittu varmenne, se muodostaa parin alkuperäisen yksityisen avaimen kanssa.

Profiilin asennuksen yhteydessä luotu alkuperäinen varmenne säilyy avainnipussa.

Uusintailmoitusten määrittäminen

Oletusarvoisesti OS X Yosemite näyttää päivittäin ilmoituksen varmenteen vanhenemisesta, kun siihen on enintään 14 päivää aikaa. Tätä toimintatapaa voi muokata CertificateRenewalTimeInterval- ja CertificateRenewalTimePercent-määritysparametrien avulla. Tässä on niitä koskevia tietoja:

Parametrin nimi Käyttömenetelmä Sallitut arvot Arvon tyyppi
CertificateRenewalTimeInterval Profiilinhallinnan asetusprofiili – ADCert tai SCEP Yli 14 päivää
Pienempi kuin varmenteen enimmäiselinikä päivinä
Päiviä (kokonaisluku)
CertificateRenewalTimePercent /usr/sbin/defaults 1–50 Prosenttiosuus (kokonaisluku)

CertificateRenewalTimePercent-parametriä käytetään seuraavanlaisella syntaksilla:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Näitä asetuksia voi käyttää yhteistoiminnallisesti:

  1. Jos CertificateRenewalTimeInterval on määritetty profiilissa, sen arvoa käytetään.
  2. Jos CertificateRenewalTimeInterval-parametriä *ei* ole määritetty profiilissa, mutta CertificateRenewalTimePercent on määritetty asiakasohjelmassa, jälkimmäistä käytetään.
  3. Jos kumpaakaan ei ole erikseen määritetty, CertificateRenewalTimeInterval-parametrin arvo on oletuksena 14 päivää.

Lisätietoja

Jos ADCert- tai SCEP-varmenteen hankkimiseen käytetty profiili poistetaan Mavericksista, viimeksi hankittu varmenne ja yksityinen avain häviävät avainnipusta. Alkuperäisellä varmenteella ei sen jälkeen ole yksityistä avainta. Varmenne ei häviä, mutta sen voi poistaa manuaalisesti.

Jos varmenteen hankkimiseen käytetty profiili sisältää myös muita siihen linkitettyjä tietosisältöjä (Verkko: EAP-TLS, VPN: OnDemand-varmennepohjainen todentaminen jne.), sidonnaiset määritykset päivittyvät uusimisen yhteydessä uuteen varmenteeseen.

Kun varmenne on uusittu, asennettu profiili liittyy uuteen varmenteeseen.  Varmenteen uusimisen seurauksena ei asennu eikä muodostu muita profiileja.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: