Profilalapú tanúsítványmegújítás a macOS rendszerben

A macOS aktuális verziói támogatják a konfigurációs profilok révén beszerzett tanúsítványok megújítását.

A macOS rendszerben a tanúsítványok a következő két módszerrel regisztrálhatók konfigurációs profil segítségével:

  • Egyszerű tanúsítványregisztrációs protokoll (SCEP), amely gyakran a Microsoft tanúsítványkiadó hatóság (CA) NDES (Network Device Enrollment Service) szolgáltatását alkalmazza (NDES).
  • DCOM/RPC (ADCertificate), amelyhez a Microsoft Windows Server tanúsítványkiadó hatóság engedélye szükséges. 

Tudnivalók a tanúsítványokról

A macOS rendszerben a tanúsítványok ugyanazzal a profillal szerezhetők be és újíthatók meg. A macOS figyelmezteti, ha közeleg a tanúsítvány lejárati dátuma:

  • Ha a tanúsítvány 15 nap múlva jár le, emlékeztetőt kap. 
  • Ha a tanúsítvány kevesebb, mint 15 nap múlva jár le, megjelenik egy értesítés az Értesítési központban. Az értesítés naponta egyszer megismétlődik addig, amíg a tanúsítvány le nem jár, illetve amíg nem frissíti vagy törli.

A tanúsítvány frissítéséhez a Rendszerbeállítások Profilok ablaktábláján kattintson a tanúsítványprofilra, majd a Frissítés gombra. 

Megújítás az ADCertificate segítségével

A Rendszerbeállítások Profilok ablaktábláján a Frissítés gombra kattintva hozzon létre egy új titkos kulcsot. Az új titkos kulcs segítségével aláírható a tanúsítványkiadó hatósághoz küldött tanúsítványkérelem. A rendszer párosítja a tanúsítványkiadó hatóságtól kapott új tanúsítványt az új titkos kulccsal.

A profil telepítésekor létrejött eredeti tanúsítvány és titkos kulcs a kulcskarikán marad.

Olvassa el, hogyan újíthatók meg automatikusan konfigurációs profil révén kapott tanúsítványok.

Megújítás az SCEP segítségével

Kattintson a Frissítés gombra a Rendszerbeállítások Profilok ablaktábláján. Az aktuális titkos kulccsal aláírható a tanúsítványkiadó hatósághoz küldött tanúsítványkérelem. Amikor a tanúsítványkiadó hatóság megújítja a tanúsítványt, akkor a rendszer párosítja a tanúsítványt az eredeti titkos kulccsal.

A profil telepítésekor létrehozott eredeti tanúsítvány a kulcskarikán marad.

Megújítás a parancssoron keresztül

A macOS 10.12 Sierra rendszerben és az újabb verziókban az ADCertificate és az SCEP segítségével, profil révén létrehozott tanúsítványok megújíthatók az /usr/bin/profiles paranccsal. A következő szintaxist használja a parancssorban:

profiles -W -p <profileIdentifier érték>

Úgy találhatja meg a „profileIdentifier” értéket, hogy kilistázza a telepített profilokat a -L parancsargumentummal.

Megújítási értesítések beállítása

A Yosemite és a macOS újabb verziói naponta megjelenítenek egy értesítést, ha a tanúsítvány kevesebb, mint 14 nap múlva jár le.

A napi értesítések időpontját a következő két konfigurációs paraméterrel módosíthatja: CertificateRenewalTimeInterval és CertificateRenewalTimePercent:

Paraméter  Alkalmazási módszer Megengedett értékek Érték típusa
CertificateRenewalTimeInterval Konfigurációs profil a Profilkezelőben: ADCert vagy SCEP Több, mint 14 nap, vagy kevesebb, mint a tanúsítvány teljes élettartama napokban Nap (egész szám)
CertificateRenewalTimePercent /usr/sbin/defaults 1 és 50 között Százalék (egész szám)

A CertificateRenewalTimePercent az alábbi szintaxissal alkalmazható:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

A két beállítás együtt használható:

  • Ha a CertificateRenewalTimeInterval meg van adva a profilban, használja azt az értéket.
  • Ha a CertificateRenewalTimeInterval nincs megadva a profilban, viszont meg van adva a kliensen, akkor használja a CertificateRenewalTimePercent értékét.

Ha egyik érték sincs megadva, az időintervallum 14 nap.

További információk

Törlődhet az ADCert- vagy SCEP-tanúsítvány létrehozásához használt profil. Ha a Mavericks rendszert vagy a macOS ennél újabb verzióját használja, akkor a legutóbbi tanúsítvány és titkos kulcs törlődik a kulcskarikáról, az eredeti tanúsítvány azonban nem. Önnek kell törölnie.

Előfordulhat, hogy a tanúsítvány beszerzéséhez használt profil egyéb adatcsomagokat is tartalmaz, amelyek a tanúsítványhoz kapcsolódnak. Példák adatcsomagokra: Hálózat: EAP-TLS, VPN: OnDemand tanúsítványalapú hitelesítés. A tanúsítvány megújításakor frissülnek az új tanúsítványhoz kapcsolódó konfigurációk.

A tanúsítvány megújításakor a rendszer társítja a telepített profilt az új tanúsítványhoz. A tanúsítvány megújításakor nem kerül sor további profilok telepítésére vagy létrehozására.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: