OS X Server : renouvellement du certificat de signature de code du gestionnaire de profils

Les guillemets utilisés dans les commandes Terminal fournies dans cet article sont des guillemets droits. Il se peut que des navigateurs Web, des applications de messagerie et des éditeurs de texte les convertissent automatiquement en guillemets courbes. Prenez garde à bien utiliser les guillemets droits lorsque vous saisissez les commandes ci-dessous dans l’application Terminal. Dans certaines régions, les noms de certificats comportent des signes diacritiques ; si vous utilisez des guillemets courbes avec de tels noms, certadmin indique que le certificat est introuvable.

Sous OS X Mavericks, l’application Server affiche un message d’alerte 30 jours avant l’expiration du certificat. Ce message est ensuite répété une fois par jour, jusqu’à ce que le certificat soit renouvelé. Le message comporte un bouton Renouveler grâce auquel vous pouvez procéder au renouvellement du certificat. 

Pour renouveler le certificat sous OS X Lion et OS X Mountain Lion, suivez la procédure décrite ci-dessous.

Tout d’abord, vous devez rassembler un certain nombre d’informations. Vous aurez besoin des éléments suivants :

1. le nom complet du certificat de signature de code ;
2. le nom complet de l’émetteur du certificat ;
3. le numéro de série du certificat au format hexadécimal.

Pour connaître le nom complet du certificat de signature de code :

1. Rendez-vous dans /Applications/Utilitaires/Trousseau d’accès.app.
2. Dans la section Trousseaux située dans la partie gauche, sélectionnez le trousseau Système.
3. Localisez votre certificat de signature de code. Son nom est similaire à « myserver.mydomain.com Code Signing Certificate », « myserver.mydomain.com » représentant le nom FQDN (ou nom de domaine complet) de votre serveur. Deux entrées doivent s’afficher : l’une représente la clé privée, l’autre le certificat lui-même. Double-cliquez sur le certificat.
4. Sous Détails, localisez la section appelée « Nom du sujet ». Dans cette section, localisez le champ Nom commun. Le nom renseigné dans ce champ doit être similaire à celui figurant dans la liste obtenue au cours de l’étape 3. Prenez note de ce nom, en prenant garde à respecter la casse, la ponctuation et les espaces.

Pour connaître le nom complet de l’émetteur du certificat :

1. Dans les détails du certificat, localisez la section intitulée « Nom de l’émetteur ». Localisez le champ Nom commun situé juste au-dessous. Le nom de l’émetteur est au format suivant : « IntermediateCA_MYSERVER.MYDOMAIN.COM_1 ».
   « MYSERVER.MYDOMAIN.COM » correspond au nom FQDN de votre serveur. Prenez note de ce nom, en prenant garde à respecter la casse, la ponctuation et les espaces.

Pour connaître le numéro de série du certificat au format hexadécimal :

1. Dans les détails du certificat, localisez le champ Numéro de série dans la section Nom de l’émetteur. Prenez note de ce numéro. Celui-ci se trouve au format décimal.
2. Rendez-vous dans /Applications/Calculette.app.
3. Dans l’application Calculette, sélectionnez Présentation > Programmeur, afin de basculer vers le mode du même nom.
4. Immédiatement au-dessous et à droite de l’écran numérique de la calculatrice se trouvent les boutons « 8 », « 10 » et « 16 ». Cliquez sur le bouton « 10 » afin de passer en mode décimal.
5. Saisissez le numéro de série obtenu lors de l’étape 1 (« 6745963548 », par exemple).
6. Cliquez sur le bouton « 16 » afin de convertir ce numéro au format hexadécimal. Vous obtenez alors un numéro similaire à « 0x192173C1C ». Prenez note de ce numéro, sans tenir compte des deux premiers caractères « 0x ».

Pour renouveler le certificat de signature de code sous OS X Lion :

1. Rendez-vous dans /Applications/Utilitaires/Terminal.app.
2. Saisissez la commande ci-dessous, en utilisant les informations rassemblées précédemment. Assurez-vous que toutes les lettres du numéro de série au format hexadécimal sont en minuscules.

   sudo /usr/sbin/certadmin --recreate-CA-signed-certificate "myserver.mydomain.com Code Signing Certificate" "IntermediateCA_MYSERVER.MYDOMAIN.COM_1" 192173c1c

Pour renouveler le certificat de signature de code sous OS X Mountain Lion :

1. Rendez-vous dans /Applications/Utilitaires/Terminal.app.
2. Saisissez la commande ci-dessous, en utilisant les informations rassemblées précédemment. Assurez-vous que toutes les lettres du numéro de série au format hexadécimal sont en minuscules.

   sudo /Applications/Server.app/Contents/ServerRoot/usr/sbin/certadmin --recreate-CA-signed-certificate "myserver.mydomain.com Code Signing Certificate" "IntermediateCA_MYSERVER.MYDOMAIN.COM_1" 192173c1c

Pour vous assurer que le gestionnaire de profils utilise le nouveau certificat :

1. Rendez-vous dans /Applications/Server.app.
2. Sous Services, cliquez sur Gestionnaire de profils.
3. Désactivez le gestionnaire de profils.
4. Cliquez sur le bouton Modifier, situé à côté de « Signer les profils de configuration ».
5. Dans la liste des certificats, sélectionnez celui intitulé « myserver.mydomain.com Code Signing Certificate – myserver.mydomain.com OD Intermediate CA » (il devrait s’agir du seul certificat répertorié).
6. Cliquez sur OK.
7. Activez le gestionnaire de profils.

Sous iOS, il n’est pas possible d’effectuer des mises à jour via le gestionnaire de profils après avoir renouvelé le certificat de signature de code. Sur chacun des appareils iOS utilisant le gestionnaire de profils, supprimez le profil de confiance et le profil d’inscription dans Réglages > Général > Profils. Accédez ensuite au portail utilisateurs du gestionnaire de profils via l’adresse https://myserver.mydomain.com/mydevices, afin d’installer le profil de confiance actif et d’enregistrer à nouveau l’appareil.