Utilisation du renouvellement d’un certificat basé sur le profil dans macOS

Les versions actuelles de macOS incluent la prise en charge du renouvellement des certificats acquis à partir d’un profil de configuration.

Vous pouvez utiliser macOS pour renouveler l’enregistrement de votre certificat avec votre profil de configuration, et ce de deux manières :

  • Le protocole SCEP (Simple Certificate Enrollment Protocol), qui utilise généralement le service d’inscription de périphérique réseau (NDES) d’une autorité de certification Microsoft (AC).
  • Le protocole DCOM/RPC (certificats AD), qui s’appuie sur une autorité de certification (AC) Microsoft Windows Server. 

À propos des certificats

Sous macOS, vous pouvez obtenir et renouveler votre certificat avec le même profil. macOS vous avertit lorsqu’un certificat est sur le point d’expirer :

  • Vous recevez un rappel lorsque le certificat arrive à 15 jours de sa date d’expiration. 
  • Lorsqu’il arrive à moins de 15 jours de la date d’expiration, une bannière s’affiche dans le centre de notifications. Cette notification est envoyée une fois par jour jusqu’à l’expiration du certificat, ou jusqu’à ce que vous le mettiez à jour ou le supprimiez.

Pour mettre à jour un certificat : dans la sous-fenêtre Profils des Préférences Système, cliquez sur le profil de certificat, puis sur Mettre à jour. 

Renouvellement de certificats AD

Dans la sous-fenêtre Profils des Préférences Système, cliquez sur le bouton Mettre à jour pour créer une clé privée. La nouvelle clé privée est utilisée pour signer la demande de certificat envoyée à l’autorité de certification. Le nouveau certificat de l’autorité de certification est jumelé avec la nouvelle clé privée.

Le certificat et la clé privée d’origine, créés lors de l’installation du profil, sont conservés dans le trousseau.

Découvrez comment renouveler automatiquement des certificats issus d’un profil de configuration.

Renouvellement avec SCEP

Dans la sous-fenêtre Profils des Préférences Système, cliquez sur le bouton Mettre à jour. La clé privée actuelle est utilisée pour signer la demande de certificat envoyée à l’autorité de certification. Lors du renouvellement du certificat par l’autorité de certification, celui-ci est jumelé à la clé privée d’origine.

Le certificat d’origine, créé lors de l’installation du profil, est conservé dans le trousseau.

Renouvellement via la ligne de commande

Sous macOS 10.12 Sierra et version ultérieure, vous pouvez renouveler le certificat AD et les certificats SCEP générés par le profil avec la commande /usr/bin/profiles. Utilisez la syntaxe suivante dans la ligne de commande :

profils -W -p<valeur profileIdentifier>

Vous pouvez trouver la valeur « profileIdentifier » en répertoriant les profils installés avec l’argument de commande -L.

Configurer les notifications de renouvellement

Sous Yosemite et versions ultérieures de macOS une notification quotidienne apparaît lorsque le certificat arrive à moins de 14 jours de sa date d’expiration.

Vous pouvez choisir l’heure où vous recevrez votre notification quotidienne avec deux paramètres de configuration appelés CertificateRenewalTimeInterval et CertificateRenewalTimePercent :

Paramètre  Méthode d’application Valeurs autorisées Type de valeur
CertificateRenewalTimeInterval Profil de configuration du Gestionnaire de profils : ADCert ou SCEP Plus de 14 jours, ou valeur inférieure à la durée de validité maximale du certificat en jours Jours (entier)
CertificateRenewalTimePercent /usr/sbin/defaults Entre 1 et 50 Pourcentage (entier)

Vous pouvez appliquer CertificateRenewalTimePercent avec la syntaxe de la manière suivante :

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Vous pouvez utiliser ces deux paramètres ensemble :

  • Si le paramètre CertificateRenewalTimeInterval est défini dans le profil, utilisez cette valeur.
  • Si le paramètre CertificateRenewalTimeInterval n’est pas défini dans le profil, mais qu’il est défini au niveau du client, utilisez la valeur CertificateRenewalTimePercent.

Si aucune valeur n’est définie, l’intervalle de temps est fixé à 14 jours.

Informations supplémentaires

Le profil que vous avez utilisé pour créer le certificat AD ou SCEP risque d’être retiré. Si vous utilisez Mavericks ou une version plus récente de macOS, la clé privée et le certificat le plus récent sont retirés du trousseau, mais le certificat d’origine est conservé ; vous devez donc le supprimer.

Le profil que vous avez utilisé pour obtenir le certificat peut disposer d’autres entités liées au certificat. Réseau : authentification EAP-TLS et VPN : authentification à la demande par certificat sont des exemples d’entités. Lors du renouvellement du certificat, les configurations dépendantes sont mises à jour pour le nouveau certificat.

Une fois un certificat renouvelé, le profil installé est associé au nouveau certificat. Lors du renouvellement d’un certificat, aucun profil supplémentaire n’est installé ou créé.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu pour responsable de tout problème lié à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web, ou l’exactitude des informations que ce dernier propose. L’utilisation d’Internet induit en effet des risques. Contactez le fournisseur pour obtenir des informations supplémentaires. Les autres noms de société et de produit peuvent constituer des marques déposées de leurs détenteurs respectifs.

Date de publication: