Menggunakan pembaruan sertifikat berbasis Profil di macOS

macOS Catalina dan versi lebih lama menyertakan dukungan untuk memperbarui sertifikat yang diperoleh dari profil konfigurasi.

Anda dapat menggunakan macOS untuk memperbarui pendaftaran sertifikat dengan profil konfigurasi melalui dua metode:

• Simple certificate enrollment protocol (SCEP), yang kerap menggunakan Microsoft certificate authority (CA) Network Device Enrollment Service (NDES).

• DCOM/RPC (ADCertificate), yang bergantung pada Microsoft Windows Server Certificate Authority (CA).

Mengenai sertifikat

Di macOS, Anda bisa memperoleh dan memperbarui sertifikat dengan profil yang sama. macOS mengingatkan Anda bila sertifikat mendekati tanggal kedaluwarsa:

• Bila sertifikat kedaluwarsa dalam 15 hari dari tanggal kedaluwarsa, Anda akan menerima pengingat.

• Bila sertifikat kedaluwarsa kurang dari 15 hari dari tanggal kedaluwarsa, akan muncul banner di Pusat Pemberitahuan. Pemberitahuan ini diulangi sekali dalam sehari hingga sertifikat kedaluwarsa atau Anda memperbarui atau menghapusnya.

Untuk memperbarui sertifikat, pada panel Profil di Preferensi Sistem, klik profil sertifikat, lalu klik Perbarui.

Memperbarui ADCertificate

Pada panel Profil di Preferensi Sistem, klik tombol Perbarui untuk membuat kunci pribadi baru. Kunci pribadi baru digunakan untuk menandatangani permintaan sertifikat yang dikirim ke CA. Sertifikat baru dari CA dipasangkan dengan kunci pribadi baru.

Sertifikat asli dan kunci pribadi yang dibuat saat profil diinstal akan tetap dalam keychain.

Pelajari cara memperbarui secara otomatis sertifikat yang dikirim melalui profil konfigurasi.

Memperbarui dengan SCEP

Klik tombol Perbarui di panel Profil pada Preferensi Sistem. Kunci pribadi saat ini digunakan untuk menandatangani permintaan sertifikat yang dikirim ke CA. Saat CA memperbarui sertifikat, CA memasangkannya dengan kunci pribadi asli.

Sertifikat asli yang dibuat saat profil diinstal akan tetap dalam keychain.

Memperbarui melalui baris perintah

Di macOS 10.12 Sierra dan versi yang lebih baru, Anda dapat memperbarui sertifikat yang dihasilkan profil ADCertificate dan SCEP dengan perintah /usr/bin/profiles. Gunakan sintaksis berikut dalam baris perintah:

profiles -W -p

Anda dapat menemukan nilai "pengidentifikasiProfil" dengan mencantumkan profil yang diinstal dengan argumen perintah -L.

Mengatur pemberitahuan pembaruan

Yosemite dan versi macOS yang lebih baru menampilkan pemberitahuan harian bila sertifikat kedaluwarsa kurang dari 14 hari ke depan.

Anda dapat mengubah waktu pemberitahuan harian dengan dua parameter konfigurasi yakni, IntervalWaktuPembaruanSertifikat dan PersentaseWaktuPembaruanSertifikat:

Anda dapat menerapkan PersentaseWaktuPembaruanSertifikat dengan sintaksis seperti berikut:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Anda dapat menggunakan dua pengaturan ini secara bersama:

• Jika IntervalWaktuPembaruanSertifikat ditentukan di profil, gunakan nilai tersebut.

• Jika IntervalWaktuPembaruanSertifikat tidak ditentukan dalam profil, tetapi ditentukan di klien, gunakan nilai PersentaseWaktuPembaruanSertifikat.

Jika tidak ada nilai yang ditentukan, interval waktu diatur ke 14 hari.

Pelajari lebih lanjut

Profil yang Anda gunakan untuk membuat sertifikat ADCert atau SCEP mungkin dihapus. Jika Anda menggunakan Mavericks atau macOS versi terbaru, kunci pribadi dan sertifikat yang paling baru akan dihapus dari keychain, tetapi tidak sertifikat asli. Anda harus menghapusnya.

Profil yang digunakan untuk memperoleh sertifikat mungkin memiliki muatan lain yang terhubung ke sertifikat. Contoh muatan yang mencakup Jaringan: EAP-TLS, VPN: Autentikasi berbasis sertifikat Atas Permintaan. Saat sertifikat diperbarui, konfigurasi dependen diperbarui untuk sertifikat baru.

Setelah sertifikat diperbarui, profil yang diinstal dikaitkan dengan sertifikat baru. Saat sertifikat diperbarui, tidak ada profil tambahan yang diinstal atau dibuat.