Vérification des certificats pour macOS Server

Si vous rencontrez des problèmes avec xscertd ou lorsque vous attribuez des certificats aux services, il peut être nécessaire de vérifier les contrôles d’accès du trousseau.

Si vos historiques contiennent des messages incluant la mention« getCACerts » ou si vous avez du mal à attribuer vos certificats aux services sur OS X Server, il est possible que les contrôles d’accès empêchent le serveur d’accéder au composant de clé privée de l’identité.

Vérification des contrôles d’accès

  1. Ouvrez Trousseaux d’accès sur le serveur.
  2. Sélectionnez le trousseau système dans la barre latérale à gauche.
  3. Sélectionnez la catégorie Tous les éléments dans la barre latérale à gauche. Si vous ne voyez pas Tous les éléments, cliquez sur .
  4. Vérifiez les objets de préférence d’identité OPENDIRECTORY suivants :

Vérification de OPENDIRECTORY_ROOT_CA_IDENTITY

  1. Double-cliquez sur la préférence d’identité OPENDIRECTORY_ROOT_CA_IDENTITY.
  2. Dans le menu Certificat préféré, celle-ci doit être définie sur Your-org-name Open Directory Certificate Authority. Assurez-vous qu’elle possède des réglages de confiance personnalisés .
  3. Prenez note du nom de ce certificat et de la date d’expiration indiquée. Fermez la fenêtre des préférences d’identité.
  4. Cliquez sur la catégorie Certificats.
  5. Recherchez le certificat portant le même nom et la même date d’expiration. Cliquez sur le triangle d’expansion de ce certificat. La clé privée apparaît sous le certificat.
  6. Double-cliquez sur la clé privée.
  7. Cliquez sur l’onglet Contrôle d’accès. Vous serez peut-être invité à saisir votre authentification administrateur.
  8. Les applications suivantes doivent être autorisées à accéder à cette clé :
    slapconfig
    xscertd-helper
    xscertadmin
    servermgrd 
  9. Si l’un de ces éléments ne figure pas dans la liste, ajoutez-le manuellement. Cliquez sur le bouton + pour ajouter un élément, puis appuyez sur Commande + Maj + G.
  10. Dans la fenêtre Aller au dossier, saisissez le chemin d’accès précis de l’élément manquant :
    • Pour l’élément slapconfig, saisissez le chemin : /usr/sbin/slapconfig
    • Pour l’élément xscertd-helper, saisissez le chemin : /usr/libexec/xscertd-helper
    • Pour l’élément xcertadmin, saisissez le chemin : /usr/sbin/xscertadmin
    • Pour l’élément servermgrd, saisissez le chemin : /Applications/Server.app/Contents/ServerRoot/System/Library/CoreServices/ServerManagerDaemon.bundle/Contents/MacOS/servermgrd
  11. Après avoir saisi le chemin de l’élément manquant, cliquez sur Aller pour le mettre en surbrillance. Cliquez ensuite sur Ajouter pour ajouter l’élément.
  12. Lorsque la liste comporte tous les éléments, cliquez sur Enregistrer les modifications. Si vous êtes invité à saisir votre mot de passe administrateur, saisissez-le et cliquez sur Modifier le trousseau.

 

Vérification de OPENDIRECTORY_INT_CA_IDENTITY

  1. Double-cliquez sur la préférence d’identité OPENDIRECTORY_INT_CA_IDENTITY.
  2. Le menu Certificat préféré doit être défini sur « IntermediateCA_DNS_NAME_OF_SERVER_1 ». Vérifiez qu’il est indiqué comme étant valide  et émis par cette autorité de certification racine.
  3. Prenez note du nom de ce certificat et de la date d’expiration indiquée. Fermez la fenêtre des préférences d’identité.
  4. Cliquez sur la catégorie Certificats.
  5. Recherchez le certificat portant le même nom et la même date d’expiration. Cliquez sur le triangle d’expansion de ce certificat. La clé privée apparaît sous le certificat.
  6. Double-cliquez sur la clé privée.
  7. Cliquez sur l’onglet Contrôle d’accès. Vous serez peut-être invité à saisir votre authentification administrateur.
  8. Les applications suivantes doivent être autorisées à accéder à cette clé :
    slapconfig
    xscertd-helper
    xscertadmin
    servermgrd 
  9. Si l’un de ces éléments est absent de la liste, ajoutez-le manuellement. Cliquez sur le bouton + pour ajouter un élément, puis appuyez sur Commande + Maj + G.
  10. Dans la fenêtre Aller au dossier, saisissez le chemin d’accès précis de l’élément manquant :
    • Pour l’élément slapconfig, saisissez le chemin : /usr/sbin/slapconfig
    • Pour l’élément xscertd-helper, saisissez le chemin : /usr/libexec/xscertd-helper
    • Pour l’élément xcertadmin, saisissez le chemin : /usr/sbin/xscertadmin
    • Pour l’élément servermgrd, saisissez le chemin : /Applications/Server.app/Contents/ServerRoot/System/Library/CoreServices/ServerManagerDaemon.bundle/Contents/MacOS/servermgrd
  11. Après avoir saisi le chemin de l’élément manquant, cliquez sur Aller pour le mettre en surbrillance. Cliquez ensuite sur Ajouter pour ajouter l’élément.
  12. Lorsque la liste comporte tous les éléments, cliquez sur Enregistrer les modifications. Si vous êtes invité à saisir votre mot de passe administrateur, saisissez-le et cliquez sur Modifier le trousseau.

Vérification de OPENDIRECTORY_SSL_IDENTITY

  1. Double-cliquez sur la préférence d’identité OPENDIRECTORY_SSL_IDENTITY.
  2. Dans le menu Certificat préféré, celle-ci doit être définie sur « dns-name-of-server ». Vérifiez qu’elle est indiquée comme étant valide  et émise par OPENDIRECTORY_SSL_IDENTITY.
  3. Prenez note du nom de ce certificat et de la date d’expiration indiquée. Fermez la fenêtre des préférences d’identité.
  4. Cliquez sur la catégorie Certificats.
  5. Recherchez le certificat portant le même nom et la même date d’expiration. Cliquez sur le triangle d’expansion de ce certificat. La clé privée apparaît sous le certificat.
  6. Double-cliquez sur la clé privée.
  7. Cliquez sur l’onglet Contrôle d’accès. Vous pouvez voir s’afficher une invite de sécurité.
  8. Assurez-vous que l’option « Autoriser l’accès à cet élément par toutes les applications » est sélectionnée. Cliquez sur Enregistrer les modifications. Si vous êtes invité à saisir votre mot de passe administrateur, saisissez-le et cliquez sur Modifier le trousseau.

Après vérification des préférences d’identité

Une fois que vous avez vérifié les trois préférences d’identité, redémarrez le serveur pour voir si le problème persiste.

Date de publication: