Utiliser le renouvellement de certificat basé sur un profil sous macOS
macOS Catalina et les versions antérieures prennent en charge le renouvellement des certificats obtenus à partir d’un profil de configuration.
Vous pouvez utiliser macOS pour renouveler l’inscription de votre certificat avec votre profil de configuration en utilisant l’une des deux méthodes :
Le protocole d’inscription du certificat simple (SCEP), qui passe souvent par le service d’inscription de périphérique réseau d’une autorité de certification (CA) de Microsoft (NDES).
DCOM/RPC (ADCertificate), qui repose sur une autorité de certification (CA) Microsoft Windows Server.
À propos des certificats
Sous macOS, vous pouvez obtenir et renouveler votre certificat avec un même profil. macOS vous avertit lorsqu’un certificat approche de sa date d’expiration :
Lorsqu’un certificat est à 15 jours de sa date d’expiration, vous recevez un rappel.
Lorsqu’un certificat est à moins de 15 jours de sa date d’expiration, une bannière s’affiche dans le centre de notifications. Cette notification se répète une fois par jour jusqu’à ce que le certificat expire ou que vous le mettiez à jour ou le supprimiez.
Pour mettre à jour un certificat, dans le volet Profils des Préférences système, cliquez sur le profil du certificat, puis sur Mettre à jour.
Renouvellement avec ADCertificate
Dans le volet Profils des Préférences système, cliquez sur le bouton Mettre à jour pour créer une nouvelle clé privée. La nouvelle clé privée est utilisée pour signer la demande de certificat envoyée à l’autorité de certification. Le nouveau certificat de l’autorité de certification est jumelé avec la nouvelle clé privée.
Le certificat et la clé privée d’origine créés lors de l’installation du profil restent dans le trousseau.
Découvrez comment renouveler automatiquement les certificats issus d’un profil de configuration.
Renouveler avec le SCEP
Cliquez sur le bouton Mettre à jour dans le volet Profils des Préférences système. La clé privée actuelle est utilisée pour signer la demande de certificat envoyée à l’autorité de certification. Lorsque l’autorité de certification renouvelle le certificat, elle le jumelle avec la clé privée d’origine.
Le certificat d’origine créé lors de l’installation du profil reste dans le trousseau.
Renouvellement par la ligne de commande
Sous macOS 10.12 Sierra et versions ultérieures, vous pouvez renouveler le certificat ADCertificate et les certificats SCEP issus d’un profil à l’aide de la commande /usr/bin/profiles. Utilisez la syntaxe suivante dans la ligne de commande :
profiles -W -p
Vous pouvez trouver la valeur « profileIdentifier » en répertoriant les profils installés avec l’argument de ligne de commande -L.
Configurer les notifications de renouvellement
Yosemite et les versions ultérieures de macOS affichent une notification quotidienne lorsqu’il reste moins de 14 jours avant l’expiration du certificat.
Vous pouvez modifier l’heure de notification quotidienne à l’aide de deux paramètres de configuration appelés CertificateRenewalTimeInterval et CertificateRenewalTimePercent :
Paramètre | Méthode d’application | Valeurs autorisées | Type de valeur |
CertificateRenewalTimeInterval | Profil de configuration du gestionnaire de profils : ADCert ou SCEP | Plus de 14 jours, ou moins que la durée de vie maximale du certificat en jours | Jours (entier) |
CertificateRenewalTimePourcentage | /usr/sbin/defaults | Entre 1 et 50 | Pourcentage (entier) |
Vous pouvez appliquer le CertificateRenewalTimePercent avec une syntaxe comme celle-ci :
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
Vous pouvez utiliser ces deux réglages ensemble :
Si CertificateRenewalTimeInterval est défini dans le profil, utilisez cette valeur.
Si CertificateRenewalTimeInterval n’est pas défini dans le profil, mais est défini sur le client, utilisez la valeur du CertificateRenewalTimePercent.
Si aucune valeur n’est définie, l’intervalle de temps est défini sur 14 jours.
En savoir plus
Le profil que vous avez utilisé pour créer le certificat ADCert ou SCEP peut être supprimé. Si vous utilisez Mavericks ou une version ultérieure de macOS, le certificat et la clé privée les plus récents sont supprimés du trousseau, mais pas le certificat d’origine. Vous devez le supprimer.
Le profil que vous avez utilisé pour obtenir le certificat peut contenir d’autres données utiles liées au certificat. Exemples de données utiles : Réseau : EAP-TLS, RPV : authentification par certificat OnDemand. Lorsque le certificat est renouvelé, les configurations dépendantes sont mises à jour pour le nouveau certificat.
Après le renouvellement d’un certificat, le profil installé est associé au nouveau certificat. Lorsqu’un certificat est renouvelé, aucun profil supplémentaire n’est installé ni créé.
Les renseignements sur les produits qui ne sont pas fabriqués par Apple ou sur les sites Web indépendants qui ne sont pas gérés ou vérifiés par Apple sont fournis sans recommandation ni approbation de la part d’Apple. Apple se dégage de toute responsabilité quant à la sélection, au bon fonctionnement ou à l’utilisation de sites Web ou de produits de tiers. Apple ne fait aucune déclaration et n’offre aucune garantie quant à l’exactitude ou à la fiabilité de ces sites Web de tiers. Communiquez avec le vendeur pour de plus amples renseignements.
