Profilalapú tanúsítványmegújítás az OS X rendszerben

Az OS X aktuális verziói támogatják a konfigurációs profilok révén beszerzett tanúsítványok megújítását.

Az OS X rendszerben a tanúsítványok a következő két módszerrel regisztrálhatók konfigurációs profil segítségével: egyszerű tanúsítványregisztrációs protokoll (SCEP) és DCOM/RPC (ADCertificate). Az ADCertificate használatához a Microsoft Windows Server tanúsítványkiadó hatóság engedélye szükséges. A SCEP gyakran a Microsoft CA NDES (Network Device Enrollment Service) szolgáltatását alkalmazza (NDES). 

Tudnivalók a tanúsítványokról

Az OS X rendszerben a profil révén beszerzett tanúsítványok az adott profil segítségével újíthatók meg. Ha a tanúsítvány tizenöt nap múlva jár le, a tanúsítványprofilnál megjelenik a Frissítés gomb a Rendszerbeállítások Profilok ablaktábláján:

Az Értesítési központ is megjelenít egy szalagsávot, amikor ideje megújítani a tanúsítványt (a lejárat előtt 15 nappal).

Az értesítés naponta egyszer megjelenik addig, amíg a tanúsítvány le nem jár, vagy a felhasználó végre nem hajtja a megfelelő műveletet.

ADCertificate-megújítás

Kattintson a Frissítés gombra a Rendszerbeállítások Profilok ablaktábláján. Ekkor létrejön egy új titkos kulcs, amellyel aláírható a tanúsítványkérelem; a kérelem a tanúsítványkiadó hatósághoz kerül. A rendszer párosítja a tanúsítványkiadó hatóság által küldött új tanúsítványt az új titkos kulccsal.

A profil telepítésekor létrejött eredeti tanúsítvány és titkos kulcs a kulcskarikán marad.

SCEP-megújítás

Kattintson a Frissítés gombra a Rendszerbeállítások Profilok ablaktábláján. A meglévő titkos kulccsal írható alá a tanúsítványkérelem; a kérelem a tanúsítványkiadó hatósághoz kerül. A rendszer párosítja a tanúsítványkiadó hatóság által küldött megújított tanúsítványt az eredeti titkos kulccsal.

A profilt telepítésekor létrehozott eredeti tanúsítvány a kulcskarikán marad.

A megújításra figyelmeztető értesítések konfigurálása

Alapértelmezés szerint az OS X Yosemite naponta megjelenít egy értesítést, ha a megszerzett tanúsítvány 14 napon belül le fog járni. Az OS X Yosemite rendszerben a következő két konfigurációs paraméterrel módosítható ez a működésmód: CertificateRenewalTimeInterval és CertificateRenewalTimePercent. Néhány információ a két paraméterről:

Paraméter neve Alkalmazási módszer Megengedett értékek Érték típusa
CertificateRenewalTimeInterval Konfigurációs profil a Profilkezelőben – ADCert vagy SCEP Több, mint 14 nap, de
kevesebb, mint a tanúsítvány teljes élettartama napokban
Nap (egész szám)
CertificateRenewalTimePercent /usr/sbin/defaults 1 és 50 között Százalék (egész szám)

A CertificateRenewalTimePercent az alábbi szintaxissal alkalmazható:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

A két beállítás egymás kiegészítéseként használható:

  1. Ha a CertificateRenewalTimeInterval meg van adva a profilban, a rendszer felhasználja az értékét.
  2. Ha a CertificateRenewalTimeInterval *nincs* megadva a profilban, a CertificateRenewalTimePercent viszont meg van adva a kliensen, a CertificateRenewalTimePercent értékét használja a rendszer.
  3. Ha egyik sincs explicit módon megadva, a rendszer 14 napos időtartamot használ a CertificateRenewalTimeInterval esetén.

További információk

Ha az ADCert- vagy a SCEP-tanúsítvány megszerzéséhez használt profilt törlik a Mavericks rendszerből, a legutóbb megszerzett tanúsítvány és titkos kulcs törlődik arról a kulcskarikáról, amelyen megtalálható. Az eredeti tanúsítvány, amelyhez már nem tartozik titkos kulcs, nem törlődik – manuálisan törölhető.

Ha a tanúsítvány megszerzéséhez használt profil egyéb olyan adatcsomagot is tartalmaz, amely a megszerzett tanúsítványhoz kapcsolódik (Hálózat: EAP-TLS, VPN: OnDemand tanúsítványalapú hitelesítés stb.), akkor a tanúsítvány megújításakor a kapcsolódó konfigurációk frissülnek az új tanúsítvány esetén.

A tanúsítvány megújításakor a rendszer társítja a telepített profilt az új tanúsítványhoz.  További profilok telepítésére vagy létrehozására nem kerül sor a tanúsítványmegújítás következtében.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: