שימוש בחידוש אישור מבוסס פרופיל ב-macOS
macOS Catalina וגרסאות קודמות כוללות תמיכה בחידוש אישורים שהתקבלו מפרופיל תצורה.
ניתן להשתמש ב-macOS כדי לחדש את רישום האישור באמצעות פרופיל התצורה בשתי שיטות:
פרוטוקול Simple Certificate Enrollment Protocol (SCEP), שלעתים קרובות עושה שימוש בשירות רישום מכשירים ברשת (NDES) של רשות אישורים (CA) של Microsoft.
DCOM/RPC (ADCertificate), שמסתמך על רשות אישורים (CA) של Microsoft Windows Server.
מידע על אישורים
ב- macOS, תוכלו לקבל ולחדש את האישור עם אותו פרופיל. ב-macOS מוצגת התרעה כאשר אישור מתקרב לתאריך התפוגה שלו:
כאשר נותרים 15 יום לתפוגת אישור, תקבלו תזכורת.
כאשר נותרים פחות מ-15 יום לתאריך התפוגה של אישור, ב'מרכז העדכונים' יופיע באנר. עדכון זה חוזר על עצמו פעם ביום עד לפקיעת תוקף האישור, או ביצוע עדכון או הסרה שלו.
כדי לעדכן אישור, בחלונית 'פרופילים' של 'העדפות המערכת', לחצו על פרופיל האישור ולאחר מכן לחצו על 'עדכן'.
חידוש באמצעות ADCertificate
בחלונית 'פרופילים' ב'העדפות המערכת', לחצו על הלחצן 'עדכן' כדי ליצור מפתח פרטי חדש. המפתח הפרטי החדש משמש לחתימה על בקשת האישור שנשלחת ל-CA. האישור החדש מה-CA מקושר למפתח הפרטי החדש.
האישור המקורי והמפתח הפרטי שנוצרו בעת התקנת הפרופיל נשארים בצרור המפתחות.
למדו כיצד לחדש אוטומטית אישורים שנשלחו דרך פרופיל תצורה.
חידוש באמצעות SCEP
לחצו על הלחצן 'עדכן' בחלונית 'פרופילים' של 'העדפות המערכת'. המפתח הפרטי הנוכחי משמש לחתימה על בקשת האישור שנשלחת ל-CA. כאשר האישור מחודש על ידי ה-CA, הוא מקושר עם המפתח הפרטי המקורי.
האישור המקורי שנוצר עם התקנת הפרופיל נשאר בצרור המפתחות.
חידוש דרך שורת הפקודה
ב-macOS 10.12 Sierra ואילך, תוכלו לחדש את אישורי ADCertificate ואת האישורים שנוצרו באמצעות פרופיל SCEP באמצעות הפקודה /usr/bin/profiles. השתמשו בתחביר הבא בשורת הפקודה:
profiles -W -p
תוכלו למצוא את הערך "profileIdentifier" על ידי הצגת רשימת הפרופילים המותקנים באמצעות ארגומנט הפקודה -L.
הגדרת עדכונים על חידוש
גרסאות Yosemite ומאוחרות יותר של macOS מציגות עדכון יומי כאשר תוקף אישור עומד לפוג בעוד פחות מ-14 יום.
ניתן לשנות את שעת העדכון היומית באמצעות שני פרמטרים של תצורה שנקראים CertificateRenewalTimeInterval ו-CertificateRenewalTimePercent:
פרמטר | שיטת היישום | ערכים מותרים | סוג ערך |
CertificateRenewalTimeInterval | פרופיל תצורה של מנהל הפרופילים: ADCert או SCEP | מעל 14 יום, או פחות מאורך החיים המקסימלי של האישור בימים | ימים (מספר שלם) |
CertificateRenewalTimePercent | /usr/sbin/defaults | בין 1 ל-50 | אחוז (מספר שלם) |
ניתן להחיל את CertificateRenewalTimePercent בתחביר כך:
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
ניתן להשתמש בשתי הגדרות אלה יחד:
אם CertificateRenewalTimeInterval מוגדר בפרופיל, השתמשו בערך זה.
אם CertificateRenewalTimeInterval אינו מוגדר בפרופיל, אך מוגדר אצל הלקוח, השתמשו בערך של CertificateRenewalTimePercent.
אם לא מוגדר אף אחד מהערכים, מרווח הזמן מוגדר כ-14 יום.
מידע נוסף
ייתכן שהפרופיל שבו השתמשתם ליצירת האישור ADCert או SCEP יוסר. אם אתם משתמשים בגרסת Mavericks או מאוחרת יותר של macOS, האישור והמפתח הפרטי האחרונים יוסרו מצרור המפתחות, אך האישור המקורי לא יוסר. עליכם למחוק אותו.
בפרופיל שבו השתמשתם לקבלת האישור עשויים להיות מטענים אחרים שמקושרים לאישור. דוגמאות למטענים כוללים אימות מבוסס אישור Network: EAP-TLS, VPN: OnDemand. כאשר האישור מחודש, התצורות התלויות מעודכנות עבור האישור החדש.
לאחר חידוש האישור, הפרופיל המותקן משויך לאישור החדש. כאשר האישור מחודש, לא מותקנים או נוצרים פרופילים נוספים.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.
