Profilalapú tanúsítványmegújítás a macOS rendszerben
A macOS Catalina és a korábbi verziók támogatják a konfigurációs profilokból származó tanúsítványok megújítását.
A macOS rendszerben a tanúsítványok a következő két módszerrel regisztrálhatók konfigurációs profil segítségével:
Egyszerű tanúsítványregisztrációs protokoll (SCEP), amely gyakran a Microsoft tanúsítványkiadó hatóság (CA) NDES (Network Device Enrollment Service) szolgáltatását alkalmazza (NDES).
DCOM/RPC (ADCertificate), amelyhez a Microsoft Windows Server tanúsítványkiadó hatóság engedélye szükséges.
Tudnivalók a tanúsítványokról
A macOS rendszerben a tanúsítványok ugyanazzal a profillal szerezhetők be és újíthatók meg. A macOS figyelmezteti, ha közeleg a tanúsítvány lejárati dátuma:
Ha a tanúsítvány 15 nap múlva jár le, emlékeztetőt kap.
Ha a tanúsítvány kevesebb, mint 15 nap múlva jár le, megjelenik egy értesítés az Értesítési központban. Az értesítés naponta egyszer megismétlődik addig, amíg a tanúsítvány le nem jár, illetve amíg nem frissíti vagy törli.
A tanúsítvány frissítéséhez a Rendszerbeállítások Profilok ablaktábláján kattintson a tanúsítványprofilra, majd a Frissítés gombra.
Megújítás az ADCertificate segítségével
A Rendszerbeállítások Profilok ablaktábláján a Frissítés gombra kattintva hozzon létre egy új titkos kulcsot. Az új titkos kulcs segítségével aláírható a tanúsítványkiadó hatósághoz küldött tanúsítványkérelem. A rendszer párosítja a tanúsítványkiadó hatóságtól kapott új tanúsítványt az új titkos kulccsal.
A profil telepítésekor létrejött eredeti tanúsítvány és titkos kulcs a kulcskarikán marad.
Olvassa el, hogyan újíthatók meg automatikusan konfigurációs profil révén kapott tanúsítványok.
Megújítás az SCEP segítségével
Kattintson a Frissítés gombra a Rendszerbeállítások Profilok ablaktábláján. Az aktuális titkos kulccsal aláírható a tanúsítványkiadó hatósághoz küldött tanúsítványkérelem. Amikor a tanúsítványkiadó hatóság megújítja a tanúsítványt, akkor a rendszer párosítja a tanúsítványt az eredeti titkos kulccsal.
A profil telepítésekor létrehozott eredeti tanúsítvány a kulcskarikán marad.
Megújítás a parancssoron keresztül
A macOS 10.12 Sierra rendszerben és az újabb verziókban az ADCertificate és az SCEP segítségével, profil révén létrehozott tanúsítványok megújíthatók az /usr/bin/profiles paranccsal. A következő szintaxist használja a parancssorban:
profiles -W -p
Úgy találhatja meg a „profileIdentifier” értéket, hogy kilistázza a telepített profilokat a -L parancsargumentummal.
Megújítási értesítések beállítása
A Yosemite és a macOS újabb verziói naponta megjelenítenek egy értesítést, ha a tanúsítvány kevesebb, mint 14 nap múlva jár le.
A napi értesítések időpontját a következő két konfigurációs paraméterrel módosíthatja: CertificateRenewalTimeInterval és CertificateRenewalTimePercent:
Paraméter | Alkalmazási módszer | Megengedett értékek | Érték típusa |
CertificateRenewalTimeInterval | Konfigurációs profil a Profilkezelőben: ADCert vagy SCEP | Több, mint 14 nap, vagy kevesebb, mint a tanúsítvány teljes élettartama napokban | Nap (egész szám) |
CertificateRenewalTimePercent | /usr/sbin/defaults | 1 és 50 között | Százalék (egész szám) |
A CertificateRenewalTimePercent az alábbi szintaxissal alkalmazható:
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
A két beállítás együtt használható:
Ha a CertificateRenewalTimeInterval meg van adva a profilban, használja azt az értéket.
Ha a CertificateRenewalTimeInterval nincs megadva a profilban, viszont meg van adva a kliensen, akkor használja a CertificateRenewalTimePercent értékét.
Ha egyik érték sincs megadva, az időintervallum 14 nap.
További információk
Törlődhet az ADCert- vagy SCEP-tanúsítvány létrehozásához használt profil. Ha a Mavericks rendszert vagy a macOS ennél újabb verzióját használja, akkor a legutóbbi tanúsítvány és titkos kulcs törlődik a kulcskarikáról, az eredeti tanúsítvány azonban nem. Önnek kell törölnie.
Előfordulhat, hogy a tanúsítvány beszerzéséhez használt profil egyéb adatcsomagokat is tartalmaz, amelyek a tanúsítványhoz kapcsolódnak. Példák adatcsomagokra: Hálózat: EAP-TLS, VPN: OnDemand tanúsítványalapú hitelesítés. A tanúsítvány megújításakor frissülnek az új tanúsítványhoz kapcsolódó konfigurációk.
A tanúsítvány megújításakor a rendszer társítja a telepített profilt az új tanúsítványhoz. A tanúsítvány megújításakor nem kerül sor további profilok telepítésére vagy létrehozására.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.
