Utilisation du renouvellement d’un certificat basé sur le profil dans macOS
macOS Catalina et les versions antérieures permettent de renouveler les certificats acquis à partir d’un profil de configuration.
Vous pouvez utiliser macOS pour renouveler l’enregistrement de votre certificat avec votre profil de configuration, et ce de deux manières :
Le protocole SCEP (Simple Certificate Enrollment Protocol), qui utilise généralement le service d’inscription de périphérique réseau (NDES
Le protocole DCOM/RPC (certificats AD), qui s’appuie sur une autorité de certification (AC) Microsoft Windows Server.
À propos des certificats
Sous macOS, vous pouvez obtenir et renouveler votre certificat avec le même profil. macOS vous avertit lorsqu’un certificat est sur le point d’expirer :
Vous recevez un rappel lorsque le certificat arrive à 15 jours de sa date d’expiration.
Lorsqu’il arrive à moins de 15 jours de la date d’expiration, une bannière s’affiche dans le centre de notifications. Cette notification est envoyée une fois par jour jusqu’à l’expiration du certificat, ou jusqu’à ce que vous le mettiez à jour ou le supprimiez.
Pour mettre à jour un certificat : dans la sous-fenêtre Profils des Préférences Système, cliquez sur le profil de certificat, puis sur Mettre à jour.
Renouvellement de certificats AD
Dans la sous-fenêtre Profils des Préférences Système, cliquez sur le bouton Mettre à jour pour créer une clé privée. La nouvelle clé privée est utilisée pour signer la demande de certificat envoyée à l’autorité de certification. Le nouveau certificat de l’autorité de certification est jumelé avec la nouvelle clé privée.
Le certificat et la clé privée d’origine, créés lors de l’installation du profil, sont conservés dans le trousseau.
Découvrez comment renouveler automatiquement des certificats issus d’un profil de configuration.
Renouvellement avec SCEP
Dans la sous-fenêtre Profils des Préférences Système, cliquez sur le bouton Mettre à jour. La clé privée actuelle est utilisée pour signer la demande de certificat envoyée à l’autorité de certification. Lors du renouvellement du certificat par l’autorité de certification, celui-ci est jumelé à la clé privée d’origine.
Le certificat d’origine, créé lors de l’installation du profil, est conservé dans le trousseau.
Renouvellement via la ligne de commande
Sous macOS 10.12 Sierra et version ultérieure, vous pouvez renouveler le certificat AD et les certificats SCEP générés par le profil avec la commande /usr/bin/profiles
Utilisez la syntaxe suivante dans la ligne de commande :
profiles -W -p
Vous pouvez trouver la valeur « profileIdentifier » en répertoriant les profils installés avec l’argument de commande -L.
Configurer les notifications de renouvellement
Sous Yosemite et les versions ultérieures de macOS, une notification quotidienne apparaît lorsque le certificat arrive à moins de 14 jours de sa date d’expiration.
Vous pouvez choisir l’heure où vous recevrez votre notification quotidienne avec deux paramètres de configuration appelés CertificateRenewalTimeInterval et CertificateRenewalTimePercent :
Paramètre | Méthode d’application | Valeurs autorisées | Type de valeur |
CertificateRenewalTimeInterval | Profil de configuration du Gestionnaire de profils : ADCert ou SCEP | Plus de 14 jours, ou valeur inférieure à la durée de validité maximale du certificat en jours | Jours (entier) |
CertificateRenewalTimePercent | /usr/sbin/defaults | Entre 1 et 50 | Pourcentage (entier) |
Vous pouvez appliquer CertificateRenewalTimePercent avec la syntaxe de la manière suivante :
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
Vous pouvez utiliser ces deux paramètres ensemble :
Si le paramètre CertificateRenewalTimeInterval est défini dans le profil, utilisez cette valeur.
Si le paramètre CertificateRenewalTimeInterval n’est pas défini dans le profil, mais qu’il est défini au niveau du client, utilisez la valeur CertificateRenewalTimePercent.
Si aucune valeur n’est définie, l’intervalle de temps est fixé à 14 jours.
Informations supplémentaires
Le profil que vous avez utilisé pour créer le certificat AD ou SCEP risque d’être retiré. Si vous utilisez Mavericks ou une version plus récente de macOS, la clé privée et le certificat le plus récent sont retirés du trousseau, mais le certificat d’origine est conservé ; vous devez donc le supprimer.
Le profil que vous avez utilisé pour obtenir le certificat peut disposer d’autres entités liées au certificat. Réseau : authentification EAP-TLS et VPN : authentification à la demande par certificat sont des exemples d’entités. Lors du renouvellement du certificat, les configurations dépendantes sont mises à jour pour le nouveau certificat.
Une fois un certificat renouvelé, le profil installé est associé au nouveau certificat. Lors du renouvellement d’un certificat, aucun profil supplémentaire n’est installé ou créé.
Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.