OS X Server : certains contrôles d’accès peuvent empêcher une identité de certificat de fonctionner avec les services liés
Après l’installation d’une identité de certificat dans le trousseau système, le certificat concerné s’affiche dans l’application Server ou dans Admin Serveur. Cependant, il est possible que le serveur n’utilise pas le certificat sélectionné et que les connexions utilisant ce dernier ne s’effectuent pas.
Problèmes caractéristiques
OS X Server
Après la sélection du certificat dans la sous-fenêtre Certificats de l’application Server, le menu déroulant fait référence à un certificat ancien ou personnalisé. Une connexion initialisée à l’aide de ce certificat peut échouer.
Lion Server
Après avoir défini le certificat dans la sous-fenêtre Réglages de l’application Server, la mention Réglages personnalisés peut s’afficher à la place du certificat. Après avoir appuyé sur la touche Modifier pour afficher les réglages personnalisés du certificat SSL, il est possible que tous les services soient configurés pour utiliser le nouveau certificat, à l’exception du service Web. Si vous essayez de faire en sorte que ce dernier utilise le certificat choisi, la valeur liée peut être momentanément modifiée, avant d’être à nouveau remplacée par Aucun. Une connexion initialisée à l’aide de ce certificat peut échouer.
Mac OS X Server 10.6
Dans la sous-fenêtre Certificats de Serveur Admin, une liste répertoriant les certificats disponibles, y compris celui que vous venez d’importer, s’affiche. Lorsque vous faites en sorte que le serveur utilise ce certificat, il est possible que vous remarquiez que vos réglages sont conservés, mais que la connexion échoue si ce même certificat est utilisé.
Résolution du problème
Le certificat importé dans le trousseau Système peut présenter des contrôles d’accès qui empêchent le serveur d’accéder au composant de la clé privée de l’identité. Cette restriction empêche l’exportation nécessaire de la clé privée dans le dossier /etc/certificats.
Utilisez Trousseau d’accès pour supprimer les restrictions et autoriser l’exportation de la clé privée afin qu’elle fonctionne avec les services de serveur.
Ouvrez Trousseau d’accès dans /Applications/Utilitaires.
Sélectionnez le trousseau Système dans la sous-fenêtre Trousseaux.
Choisissez Certificats dans la sous-fenêtre Catégorie, située dans la partie inférieure gauche.
Cliquez sur la flèche située à côté du certificat importé.
Double-cliquez sur la clé privée.
Cliquez sur l’onglet Contrôle d’accès.
Sélectionnez l’option « Autoriser l’accès à cet élément par toutes les applications ».
Cliquez sur Enregistrer les modifications et connectez-vous en tant qu’administrateur local, lorsque vous y êtes invité.
Redémarrez l’ordinateur.
Vous pouvez consulter la liste des certificats installés et disponibles pour les services de serveur en consultant le répertoire /etc/certificats. Les noms des certificats se composent du nom courant du certificat, suivi par la mention SHA1. Chaque identité de certificat valide doit comporter quatre fichiers : la chaîne de confiance du certificat (chain.pem), le certificat (cert.pem), la clé (key.pem) et le certificat lié, accompagné de sa clé privée (concat.pem). Si l’un des quatre fichiers est manquant, les services ne pourront pas fonctionner avec le certificat correspondant.