OS X Server : renouvellement du certificat de signature de code du Gestionnaire de profils
Lorsque vous utilisez le certificat auto-signé par défaut et le certificat de signature de code dans OS X Server, le certificat de signature de code doit parfois être renouvelé avant son expiration.
Avant de commencer
Les guillemets utilisés dans l’article sur les commandes Terminal sont des guillemets « droits ». Certains navigateurs web, éditeurs de texte et certaines applications de messagerie peuvent automatiquement convertir ces guillemets en guillemets intelligents (courbes). Il est important d’utiliser des guillemets droits lorsque vous saisissez dans Terminal.app les commandes mentionnées dans cet article. Dans les régions géographiques où des signes diacritiques sont utilisés dans le nom du certificat, les guillemets intelligents peuvent amener certadmin à signaler que le certificat est introuvable.
OS X Mavericks
Sous OS X Mavericks, vous recevez une alerte dans Serveur.app 30 jours avant l’expiration du certificat. Une alerte s’affiche ensuite dans Serveur.app une fois par jour jusqu’au renouvellement du certificat. L’alerte comprend un bouton Renouveler vous permettant de procéder au renouvellement du certificat.
OS X Lion et OS X Mountain Lion
Pour OS X Lion et OS X Mountain Lion, suivez la procédure ci-dessous pour renouveler le certificat.
Pour préparer le renouvellement du certificat, vous devez d’abord recueillir certaines informations. Éléments nécessaires :
Nom commun complet du certificat de signature de code.
Nom commun complet de l’émetteur.
Numéro de série du certificat au format hexadécimal.
Pour obtenir le nom commun complet du certificat de signature de code, procédez comme suit :
Ouvrez /Applications/Utilitaires/Trousseaux d’accès.app.
Sur la gauche, sous Trousseaux, sélectionnez le trousseau Système.
Recherchez votre certificat de signature de code. Il doit être nommé au format « Certificat de signature de code myserver.mydomain.com », où « myserver.mydomain.com » désigne le nom de domaine complet de votre serveur. Vous devriez voir deux entrées, dont une qui correspond à la clé privée et l’autre au vrai certificat. Double-cliquez sur ce dernier.
Sous Détails, recherchez la section intitulée « Nom du sujet ». Dans celle-ci, recherchez le champ Nom commun, qui doit être identique au nom du certificat indiqué dans la liste de l’étape 3. Notez le nom complet, y compris les majuscules, les espaces et la ponctuation.
Pour obtenir le nom commun complet de l’émetteur, procédez comme suit :
Parmi les informations du certificat, recherchez le champ Nom commun situé en dessous de la section intitulée « Nom de l’émetteur ». Le nom commun de l’émetteur doit être au format suivant : « IntermediateCA_MYSERVER.MYDOMAIN.COM_1"
...where "MYSERVER.MYDOMAIN.COM" will be the FQDN of your server. Make note of the full name, including capitalization, spaces, and punctuation.
Pour obtenir le numéro de série du certificat au format hexadécimal, procédez comme suit :
Dans les mêmes informations de certificat, vous devriez voir le champ Numéro de série dans la section « Nom de l’émetteur ». Prenez note du numéro de série, qui est au format décimal.
Ouvrez /Applications/Calculette.app
Dans Calculette, choisissez Présentation > Programmeur pour passer en mode programmeur.
Juste en dessous à droite de l’affichage numérique de la Calculette se trouvent les boutons intitulés « 8 », « 10 » et « 16 ». Cliquez sur le bouton « 10 » pour vous assurer que la Calculette est en mode décimal.
Saisissez le numéro de série que vous avez noté à l’étape 1, par exemple « 6745963548 ».
Cliquez sur le bouton « 16 » pour le convertir au format hexadécimal. Le nombre obtenu sera au format « 0x192173C1C ». Ignorez « 0x » au début et notez le nombre.
Pour renouveler le certificat de signature de code sous OS X Lion, procédez comme suit :
Ouvrez /Applications/Utilitaires/Terminal.app.
Saisissez la commande suivante à l’aide des informations collectées ci-dessus. Lorsque vous saisissez le numéro de série au format hexadécimal, assurez-vous que toutes les lettres sont saisies en minuscules.
sudo /usr/sbin/certadmin --recreate-CA-signed-certificate "myserver.mydomain.com Code Signing Certificate" "IntermediateCA_MYSERVER.MYDOMAIN.COM_1" 192173c1c
Pour renouveler le certificat de signature de code sous OS X Mountain Lion, procédez comme suit :
Ouvrez /Applications/Utilitaires/Terminal.app.
Saisissez la commande suivante à l’aide des informations collectées ci-dessus. Lorsque vous saisissez le numéro de série au format hexadécimal, assurez-vous que toutes les lettres sont saisies en minuscules.
sudo /Applications/Server.app/Contents/ServerRoot/usr/sbin/certadmin --recreate-CA-signed-certificate "myserver.mydomain.com Code Signing Certificate" "IntermediateCA_MYSERVER.MYDOMAIN.COM_1" 192173c1c
Pour vous assurer que le Gestionnaire de profils utilise le nouveau certificat, procédez comme suit :
Ouvrez /Applications/Serveur.app.
Sous Services, cliquez sur Gestionnaire de profils.
Désactivez Gestionnaire de profils.
À côté de « Signer les profils de configuration », cliquez sur le bouton Édition.
Dans la liste des certificats, sélectionnez celui nommé « myserver.mydomain.com Code Signing Certificate - myserver.mydomain.com OD Intermediate CA », qui doit être le seul certificat répertorié.
Cliquez sur OK.
Activez Gestionnaire de profils.
Informations sur iOS
iOS n’accepte pas les mises à jour via le Gestionnaire de profils après le renouvellement du certificat de signature de code. Pour chaque appareil iOS utilisant le Gestionnaire de profils, supprimez le profil de confiance et le profil d’inscription dans Réglages > Général > Profils. Ensuite, accédez au Portail utilisateur du Gestionnaire de profils à l’adresse https://myserver.mydomain.com/mydevices pour installer le profil de confiance actuel et réinscrire l’appareil.
Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.